史上最强大的僵尸网络 Dark_nexus 横空出世

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

本周三，网络安全公司 Bitdefender表示发现了让其它僵尸网络如 Mirai 和 Qbot “相形见绌”的新型僵尸网络 “dark_nexus”。它具有的特征和能力是当前僵尸网络无法比拟的。

僵尸网络是由已受陷且被奴役至主控制器的机器、物联网产品和移动设备组成的网络。这些设备可被用于执行 DDoS 攻击、发动大规模的垃圾邮件活动等。

Dark_nexus 的命名源自其横幅上打印的字符串，它虽然同时具有Mirai 和 Qbot 的冷链接，但研究团队表示其主要功能是原创的。

研究人员指出，“虽然它和此前已知的物联网僵尸网络存在相似之处，但其某些模块助其更强大更健壮。”

Dark_nexus 已出现三个月，在此期间已发布三个版本。蜜罐显示至少有1372个僵尸连接到该僵尸网络，主要的僵尸位于中国、韩国、泰国和巴西。为了攻陷发现的机器，Dark_nexus 将使用凭证填充和 exploit。它使用了同步和异步两种模块，不过它们都尝试使用 Telnet 协议以及预定义的凭证列表获取访问权限。研究人员指出，“和其它广为传播的僵尸网络使用的扫描器非常相似，该扫描器被当作建模 Telnet 协议和随后感染步骤的有限状态机实现，在感染过程中，攻击者基于此前的命令输出发出适应性命令。”

在启动阶段，僵尸网络使用了和 Qbot 一样的进程，实现了多个fork，阻碍了某些信号，之后该僵尸网络和终端分离。和 Mirai 一样，该僵尸网络之后将自身绑定到端口7630。另外，它还试图通过将自身命名为 /bin/busybox 的方式隐藏活动。

Dark_nexus 具有针对12种 CPU 架构的定制化payload，根据受害者的配置和设置交付。它使用一种非常独特的方式维持在机器上的立足点，它会对现有进程进行“风险评估”。它的代码中包含一个白名单进程列表，再加上进程标识符，一起判断进程是否可行。凡是越过“怀疑阈值”的进程都会被杀死。

Dark_nexus 和两个 C2 服务器以及负责接收易受攻击服务（包括 IP 和端口号）的报告服务器连接。服务器地址要么被硬编码到轻量级下载器中，要么被当作反向代理功能——在某些情况下它用于将每个受害者转变为托管服务器的代理，之后为随机端口上的样本提供服务。

Dark_nexus 发动的攻击很常见，但有一点例外：browser_http_req 命令。研究人员表示该元素“极其复杂且可配置”，“它试图将流量伪装成由浏览器生成的无害流量”。

它的另外一个独特功能在于，试图阻止设备重启。服务遭攻陷并被停止后，而可执行文件中可重启设备的权限也被删除。该僵尸网络的开发人员被认为是 geek.Helios。他是一个为人熟知的僵尸网络作者，多年来一直在地下论坛兜售  DDoS 服务。

研究人员还在 Dark_nexus 的某些版本中找到了多个 socks5 代理。该功能也存在于多个僵尸网络中如 Mirai 变体、TheMoon和 Gwmndy，研究人员还在继续观察它的进展状况。

研究人员认为，“一个可能的动机是在地下论坛出售这些代理的访问权限，不过我们尚未找到这么做的证据。”

推荐阅读

四个月休眠期结束，当前最危险的僵尸网络 Emotet 再抬头

警惕！Mirai 新变体带着11个新利用攻击企业设备

原文链接

https://www.zdnet.com/article/new-dark-nexus-botnet-outstrips-others-with-original-advanced-capabilities/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

                           点个“在看”，一起玩耍