“捉迷藏”成为第一个能够重新生成设备重启的物联网僵尸网络

安全研究人员发现了第一个IoT僵尸网络恶意软件，它可以在设备重启后存活，并在最初的妥协后继续留在被感染的设备上。

这是物联网和路由器恶意软件领域发生重大变化的时刻。直到今天，设备所有者总是可以通过重启设备来从他们的智能设备、调制解调器和路由器中移除物联网恶意软件。

重启操作刷新了设备的闪存，该设备将保留所有工作数据，包括IoT恶意软件。

“Hide and Seek”恶意软件将自身复制到/etc/init.d/

但是今天，Bitdefender的研究人员宣布他们发现了一种物联网恶意软件，在某些情况下会将其自身复制到/etc/init.d/，这是一个基于Linux操作系统上放置守护程序脚本的文件夹，就像路由器和物联网设备上的守护程序脚本一样。

通过将自身放置在这个菜单中，设备的操作系统将在下一次重新启动后自动启动恶意软件的进程。

即使是Mirai毒株也无法实现的这种恶意软件称为Hide and Seek（HNS） - 也被称为Hide'N Seek。

HNS僵尸网络在过去几个月已经发生了相当大的变化

Bitdefender专家于今年1月初首先发现了HNS恶意软件及其相邻的僵尸网络，该僵尸网络在同月底增长到约32,000个。专家表示，从发现到现在，HNS已经感染了90,000种设备。

Crooks利用两个漏洞创建了他们的初始僵尸网络，这与现今其它活跃的物联网僵尸网络是不同的，因为它使用自定义的P2P协议来控制受感染的系统。

现在，专家们已经发现了新的HNS版本，它不仅增加了对其他两个漏洞的支持(1,2)，还支持了暴力操作。

这意味着受HNS感染的设备将扫描开放Telnet端口的其他设备，并尝试使用预设凭证列表登录该设备。

研究人员说，HNS的作者们也有时间来调整这种“强制执行”的方案，因为恶意软件可以识别至少两种类型的设备，并尝试使用其出厂默认凭证登录到这些系统中，而不是盲目地猜测密码。

此外，HNS代码库也得到了更新，而bot现在有十个不同的二进制文件用于十个不同的设备架构。

并非所有的HNS都持续启动

但是HNS无法获得所有受感染设备的引导许可。根据Bitdefender高级电子威胁分析师Bogdan Botezatu的说法，“为了实现持久性，感染必须通过Telnet进行，因为需要root权限将二进制文件复制到init.d目录。”

安全专家还补充说，HNS僵尸网络仍在进行中，恶意软件仍然不支持发起DDoS攻击。

尽管如此，在受感染的设备上窃取数据和执行代码的功能仍然存在，这意味着僵尸网络支持插件/模块系统，并且可以在任何情况下使用任何类型的恶意代码进行扩展。

本文翻译自：https://www.bleepingcomputer.com/