Linux惡意軟體正在部署物聯網裝置僵屍網絡

eset安全公司的研究人員發現一款惡意軟體，以物聯網裝置如路由器、網關和無線接入點等為攻擊目标。

bot後門”與“掃描器”的雜交

該惡意程式被稱為ktn-remastered 或 ktn-rm，是tsunami (或 kaiten)以及 gafgyt的結合。tsunami是衆所周知的irc(網際網路中繼聊天)bot後門，被惡意攻擊者用于發起ddos攻擊，而gafgyt用于遠端登入掃描。

ktn-rm，研究人員也稱其為“remaiten”，通過下載下傳可執行的惡意二進制檔案，感染嵌入式平台和其他連接配接裝置。

eset公司在官方微網誌上釋出的文章中這樣說道：

“最近，我們發現了一個結合了tsunami(也稱為kaiten)和gafgyt的功能的惡意軟體，此外，它還具備一些改進和新增功能。我們把這種新的威脅稱之為linux/ remaiten。到目前為止，我們已經發現linux / remaiten的三個版本，版本2.0，2.1和2.2。根據代碼顯示結果，發現者将這種新的惡意軟體稱之為“ktn-remastered” 或是 “ktn-rm”。”

linux惡意軟體是如何運作的？

該惡意軟體首先進行遠端登入掃描，尋找路由器和智能裝置。一旦連接配接成功，惡意軟體将對登入憑據進行猜測，試圖掌控一些存在弱密碼的裝置。

如果成功登入，惡意軟體會發出一個shell指令給下載下傳機器人，下載下傳針對多種系統架構的惡意二進制檔案，随後将其運作在受損系統上。

eset的安全研究人員還發現，這些二進制檔案包括c&c伺服器的ip位址寫死清單，機器人還将受感染的裝置資訊(即ip位址、登入憑據、感染狀态)發送至控制伺服器上。

“當指令執行遠端登入掃描，它會嘗試連接配接23端口的随機ip位址。如果連接配接成功，它會嘗試從使用者名/密碼組合的嵌入清單中猜測登入憑據。如果成功登入，它會發出一個shell指令給下載下傳機器人，下載下傳針對多種架構的惡意二進制檔案，并試圖運作它們。這是一個盡管看起來略顯繁瑣卻很簡單的感染新的裝置的方式，因為很可能就存在一個二進制檔案可以在運作程式中執行。”

本文轉自d1net（轉載）