ESET安全公司的研究人員發(fā)現(xiàn)一款惡意軟件，以物聯(lián)網(wǎng)設(shè)備如路由器、網(wǎng)關(guān)和無線接入點等為攻擊目標(biāo)。

　　“Bot后門”與“掃描器”的雜交

　　該惡意程序被稱為KTN-Remastered 或 KTN-RM，是Tsunami (或 Kaiten)以及 Gafgyt的結(jié)合。Tsunami是眾所周知的IRC(互聯(lián)網(wǎng)中繼聊天)Bot后門，被惡意攻擊者用于發(fā)起DDOS攻擊，而Gafgyt用于遠(yuǎn)程登錄掃描。

　　KTN-RM，研究人員也稱其為“Remaiten”，通過下載可執(zhí)行的惡意二進制文件，感染嵌入式平臺和其他連接設(shè)備。

　　ESET公司在官方微博上發(fā)布的文章中這樣說道：

　　“最近，我們發(fā)現(xiàn)了一個結(jié)合了Tsunami(也稱為Kaiten)和Gafgyt的功能的惡意軟件，此外，它還具備一些改進和新增功能。我們把這種新的威脅稱之為Linux / Remaiten。到目前為止，我們已經(jīng)發(fā)現(xiàn)Linux / Remaiten的三個版本，版本2.0，2.1和2.2。根據(jù)代碼顯示結(jié)果，發(fā)現(xiàn)者將這種新的惡意軟件稱之為“KTN-Remastered” 或是 “KTN-RM”。”

　　Linux惡意軟件是如何運行的?

　　該惡意軟件首先進行遠(yuǎn)程登錄掃描，尋找路由器和智能設(shè)備。一旦連接成功，惡意軟件將對登錄憑據(jù)進行猜測，試圖掌控一些存在弱口令的設(shè)備。

　　如果成功登錄，惡意軟件會發(fā)出一個shell命令給下載機器人，下載針對多種系統(tǒng)架構(gòu)的惡意二進制文件，隨后將其運行在受損系統(tǒng)上。

　　ESET的安全研究人員還發(fā)現(xiàn)，這些二進制文件包括C&C服務(wù)器的IP地址硬編碼列表，機器人還將受感染的設(shè)備信息(即IP地址、登錄憑據(jù)、感染狀態(tài))發(fā)送至控制服務(wù)器上。

　　“當(dāng)指令執(zhí)行遠(yuǎn)程登錄掃描，它會嘗試連接23端口的隨機IP地址。如果連接成功，它會嘗試從用戶名/密碼組合的嵌入列表中猜測登錄憑據(jù)。如果成功登錄，它會發(fā)出一個shell命令給下載機器人，下載針對多種架構(gòu)的惡意二進制文件，并試圖運行它們。這是一個盡管看起來略顯繁瑣卻很簡單的感染新的設(shè)備的方式，因為很可能就存在一個二進制文件可以在運行程序中執(zhí)行。”