Linux Remaiten恶意软件正在部署物联网设备僵尸网络

  

 

  ESET安全公司的研究人员发现一款恶意软件,以物联网设备如路由器、网关和无线接入点等为攻击目标。

  “Bot后门”与“扫描器”的杂交

  该恶意程序被称为KTN-Remastered 或 KTN-RM,是Tsunami (或 Kaiten)以及 Gafgyt的结合。Tsunami是众所周知的IRC(互联网中继聊天)Bot后门,被恶意攻击者用于发起DDOS攻击,而Gafgyt用于远程登录扫描。

  KTN-RM,研究人员也称其为“Remaiten”,通过下载可执行的恶意二进制文件,感染嵌入式平台和其他连接设备。

  ESET公司在官方微博上发布的文章中这样说道:

  “最近,我们发现了一个结合了Tsunami(也称为Kaiten)和Gafgyt的功能的恶意软件,此外,它还具备一些改进和新增功能。我们把这种新的威胁称之为Linux / Remaiten。到目前为止,我们已经发现Linux / Remaiten的三个版本,版本2.0,2.1和2.2。根据代码显示结果,发现者将这种新的恶意软件称之为“KTN-Remastered” 或是 “KTN-RM”。”

  Linux恶意软件是如何运行的?

  该恶意软件首先进行远程登录扫描,寻找路由器和智能设备。一旦连接成功,恶意软件将对登录凭据进行猜测,试图掌控一些存在弱口令的设备。

  如果成功登录,恶意软件会发出一个shell命令给下载机器人,下载针对多种系统架构的恶意二进制文件,随后将其运行在受损系统上。

  ESET的安全研究人员还发现,这些二进制文件包括C&C服务器的IP地址硬编码列表,机器人还将受感染的设备信息(即IP地址、登录凭据、感染状态)发送至控制服务器上。

 

  “当指令执行远程登录扫描,它会尝试连接23端口的随机IP地址。如果连接成功,它会尝试从用户名/密码组合的嵌入列表中猜测登录凭据。如果成功登录,它会发出一个shell命令给下载机器人,下载针对多种架构的恶意二进制文件,并试图运行它们。这是一个尽管看起来略显繁琐却很简单的感染新的设备的方式,因为很可能就存在一个二进制文件可以在运行程序中执行。”