研究人员发现首个可在重启后自动运行的物联网蠕虫
近年来越来越多的攻击者将目标转向数量越来越多的物联网设备,因为多数物联网设备的安全性都弱不禁风。
对于攻击者来说感染足够多的物联网设备就能发起DDoS攻击获利,这也是多数僵尸网络最主要的获利方式。
还有个比较明显的特点是蠕虫通常在重启后就会瘫痪,因为其必须将自己加入到自启动列表中才能持续运行。
首个开机自启的物联网蠕虫面世:
比特梵徳的研究人员在追踪物联网蠕虫 HNS 时发现该蠕虫自四月底开始更新的版本已经具备开启自启能力。
NHS这个物联网蠕虫有着各种奇葩的特点,例如该蠕虫主要通过自建P2P网络协议来进行互相感染和通信等。
NHS在感染某个设备后会开启 UDP 协议并随机生成端口再将其加入防火墙白名单后即可向外探测更多设备。
同时和其他物联网蠕虫不同的是NHS并没有DDoS模块,也就是攻击者至少到现在还没想通过这种方式获利。
通过Telnet感染、将自己加入/etc/init.d/
研究人员在分析后发现NHS内置 10 种不同二进制文件,每种二进制文件对应着不同操作系统的Telnet协议。
为了达到持续性运行避免中断的目的,蠕虫需要获得Root权限后将自己加入 /etc/init.d/ 后实现开机自启动。
比特梵特研究人员认为,NHS并没有DDoS模块意味着攻击者可能有其他目的,例如实现间谍活动和窃听等。
而 NHS 主要感染的设备都是网络摄像头, 既可查看拍摄的内容亦可通过摄像头网络进入摄像头所在的内网。
目前预计已经有99,000台网络摄像头等物联网设备遭到感染,建议使用物联网设备的用户定期修改设备密码。