研究人員在星期三說，一個(gè)新發(fā)現(xiàn)的以家用路由器，錄像機(jī)和其他網(wǎng)絡(luò)連接設(shè)備為食的僵尸網(wǎng)絡(luò)是有史以來最先進(jìn)的物聯(lián)網(wǎng)平臺(tái)之一。其高級(jí)功能列表包括將惡意流量偽裝為良性，保持持久性以及感染至少運(yùn)行在12個(gè)不同CPU上的設(shè)備的能力。

防病毒提供商Bitdefender的研究人員將所謂的dark_nexus描述為“新的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，其中包含了使我們所看到的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和惡意軟件蒙羞的新特性和功能。” 在Bitdefender跟蹤的三個(gè)月中，dark_nexus經(jīng)歷了30個(gè)版本更新，因?yàn)槠溟_發(fā)人員穩(wěn)步添加了更多功能。

證據(jù)顯示

該惡意軟件已經(jīng)感染了至少1，372臺(tái)設(shè)備，其中包括錄像機(jī)，熱像儀以及由Dasan，Zhone，Dlink和ASUS制造的家用和小型辦公室路由器。研究人員預(yù)計(jì)，隨著dark_nexus開發(fā)的繼續(xù)，更多的設(shè)備模型將受到影響。

關(guān)于其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，研究人員在一份報(bào)告中寫道：“我們的分析確定，盡管dark_nexus重用了一些Qbot和Mirai代碼，但其核心模塊大多是原始的。盡管它可能與以前已知的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)共享某些功能，但其某些模塊的開發(fā)方式使其功能更加強(qiáng)大且強(qiáng)大。”

僵尸網(wǎng)絡(luò)通過猜測常用的管理員密碼和利用安全漏洞進(jìn)行了傳播。增加受感染設(shè)備數(shù)量的另一個(gè)功能是它可以針對(duì)運(yùn)行在廣泛CPU上的系統(tǒng)進(jìn)行定位的能力，這些系統(tǒng)包括：

arm：ELF 32位LSB可執(zhí)行文件，ARM，版本1（ARM），靜態(tài)鏈接，已剝離

arm5：ELF 32位LSB可執(zhí)行文件，ARM，版本1（ARM），靜態(tài)鏈接，已剝離

arm6：ELF 32位LSB可執(zhí)行文件，ARM，EABI4版本1（GNU / Linux），靜態(tài)鏈接，已剝離

arm7：ELF 32位LSB可執(zhí)行文件，ARM，EABI4版本1（GNU / Linux），靜態(tài)鏈接，已剝離

mpsl：ELF 32位LSB可執(zhí)行文件，MIPS，MIPS-I版本1（SYSV），靜態(tài)鏈接，已剝離

mips：ELF 32位MSB可執(zhí)行文件，MIPS，MIPS-I版本1（SYSV），靜態(tài)鏈接，已剝離

i586：ELF 32位LSB可執(zhí)行文件，Intel 80386版本1（GNU / Linux），靜態(tài)鏈接，已剝離

x86：ELF 64位LSB可執(zhí)行文件，x86-64版本1（SYSV），靜態(tài)鏈接，已剝離

spc：ELF 32位MSB可執(zhí)行文件，SPARC，版本1（SYSV），靜態(tài)鏈接，已剝離

m68k：ELF 32位MSB可執(zhí)行文件，Motorola m68k，68020，版本1（SYSV），靜態(tài)鏈接，已剝離

ppc：ELF 32位MSB可執(zhí)行文件，PowerPC或cisco 4500，版本1（GNU / Linux），靜態(tài)鏈接，已剝離

弧線：

sh4：ELF 32位LSB可執(zhí)行文件，瑞薩SH，版本1（SYSV），靜態(tài)鏈接，已剝離

rce：

Bitdefender的報(bào)告稱，盡管dark_nexus傳播模塊包含針對(duì)ARC和Motorola RCE體系結(jié)構(gòu)的代碼，但到目前為止，研究人員仍無法找到針對(duì)這些體系結(jié)構(gòu)編譯的惡意軟件樣本。

dark_nexus的主要目的是執(zhí)行分布式拒絕服務(wù)攻擊，通過向網(wǎng)站和其他在線服務(wù)注入過多的垃圾流量，使網(wǎng)站和其他在線服務(wù)脫機(jī)。為了使這些攻擊更有效，惡意軟件具有一種機(jī)制，可以使惡意流量看起來像是由Web瀏覽器發(fā)送的良性數(shù)據(jù)。

dark_nexus中的另一個(gè)高級(jí)功能使惡意軟件具有“最高”的安全性，可以勝過可能安裝在受感染設(shè)備上的任何其他惡意軟件。最高機(jī)制使用評(píng)分系統(tǒng)來評(píng)估設(shè)備上運(yùn)行的各種進(jìn)程的可信賴性。已知為良性的進(jìn)程將自動(dòng)列入白名單。

無法識(shí)別的過程會(huì)獲得某些類型特征的得分。例如，一個(gè)在運(yùn)行時(shí)被刪除的進(jìn)程（一種常見于惡意代碼的行為）得分為90。“ / tmp /”，“ / var /”或“ / dev /”等目錄中的可執(zhí)行文件惡意軟件的惡意信號(hào)-得分為90。其他特征從10到90分。任何獲得100分或以上的進(jìn)程都會(huì)被自動(dòng)殺死。

Dark_nexus還可以終止重啟過程，該功能可使惡意軟件在設(shè)備上運(yùn)行更長的時(shí)間，因?yàn)榇蠖鄶?shù)物聯(lián)網(wǎng)惡意軟件無法在重啟后幸存。為了使感染更加隱蔽，開發(fā)人員使用已經(jīng)被破壞的設(shè)備來提供漏洞利用和有效載荷。

誰是希臘太陽神？

dark_nexus的早期版本在打印橫幅時(shí)包含字符串“ @ greek.helios”。該字符串還出現(xiàn)在Marai惡意軟件的變體“ hoho”的2018年版本中。hoho和dark_nexus都包含Mirai和Qbot代碼。Bitdefender研究人員很快發(fā)現(xiàn)，“希臘Helios”是銷售物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)惡意軟件和DDoS服務(wù)的在線角色所使用的名稱。這個(gè)由希臘人helios用戶托管的Youtube頻道收錄了一些宣傳惡意軟件和所提供服務(wù)的視頻。

周三的報(bào)告說，一個(gè)視頻顯示了一個(gè)計(jì)算機(jī)桌面，該計(jì)算機(jī)桌面具有一個(gè)IP地址的快捷方式，該地址最早在去年12月出現(xiàn)在Bitdefender的蜜罐日志中，作為dark_nexus命令和控制服務(wù)器。這些和其他一些線索使研究人員懷疑這個(gè)人在dark_nexus之后。

如上圖所示，dark_nexus感染在中國最常見，有653個(gè)節(jié)點(diǎn)被檢測為受到感染。接下來受影響最嚴(yán)重的四個(gè)國家是大韓民國（261個(gè)），泰國（172個(gè)），巴西（151個(gè)）和俄羅斯（148個(gè)）。在美國檢測到68種感染。

憑借能夠感染各種設(shè)備的能力和積極進(jìn)取的開發(fā)人員，并且制定了雄心勃勃的更新計(jì)劃，看到該僵尸網(wǎng)絡(luò)在未來幾個(gè)月內(nèi)的增長也就不足為奇了。