欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

新型物联网蠕虫 “鲸鲨蠕虫”深度分析报告

来源:本站整理 作者:佚名 时间:2017-07-09 TAG: 我要投稿

作者: 启明星辰ADLab&电信云堤

1. 鲸鲨蠕虫介绍

近期,启明星辰ADLab与电信云堤发现了一款新型物联网蠕虫:鲸鲨蠕虫,鲸鲨蠕虫是首款利用物联网设备来构建大型代理网络的蠕虫病毒,主要感染对象包括路由器、网络摄像头、交换机等物联网设备,我们当前所发现的该蠕虫受控于一台位于俄罗斯的主机服务器。

此蠕虫并未实现任何可以用于网络攻击的模块,从我们目前的分析结果来看,该蠕虫仅仅实现了一个 TCP 流量转发的功能,黑客可以利用该功能向任何指定 IP 地址发送 TCP 数据包。因此我们推测,该黑客试图利用蠕虫来建立一个大型的网络代理平台,并利用该平台管理的网络设备来转发其流量,以实现如下目的。

  • 利用该代理平台来提供代理服务谋取利益。
  • 利用僵尸流量转发功能来对目标实施如 HTTP 攻击。
  • 利用这些网络设备来构建一个多级中转站,为黑客提供攻击掩护、身份隐藏等基础设施。

该蠕虫具备以下特点:

  1. 该蠕虫拥有强大的可升级的弱口令密码表,蠕虫感染时利用的弱口令表由服务器在后台进行升级。

  2. 蠕虫感染行为较灵活,蠕虫感染的目标可以由主控服务器指定,也可以由蠕虫随机生成感染的目标 IP。同时蠕虫程序可以通过自带的下载器下载或者利用 wget 或 tftp 程序从主控服务器下载。

  3. 蠕虫适配物联网设备不同的架构及软件环境,该蠕虫适配 mips 、 x86 、 arm 、 power pc、 Hitachi 的不同的 CPU 架构,兼容大端和小端的字节顺序。在软件环境方面,该蠕虫适配带 busybox 程序的环境和不带 busybox 程序环境、适配带 echo 程序的环境和带 printf 程序的环境、适配带 wget/tftp/echo/printf 的二进制回显重定向的下载模式。

  4. 收集大量设备的网络数据信息。主控服务器不仅收集受感染设备的用户名、密码、系统环境信息,还收集无法连接或连接异常的设备的IP及出错原因。我们推测黑客企图建立强大的设备数据库信息,为后续的攻击建立基础。

[1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载