Linux恶意软件正在部署物联网设备僵尸网络

eset安全公司的研究人员发现一款恶意软件，以物联网设备如路由器、网关和无线接入点等为攻击目标。

bot后门”与“扫描器”的杂交

该恶意程序被称为ktn-remastered 或 ktn-rm，是tsunami (或 kaiten)以及 gafgyt的结合。tsunami是众所周知的irc(互联网中继聊天)bot后门，被恶意攻击者用于发起ddos攻击，而gafgyt用于远程登录扫描。

ktn-rm，研究人员也称其为“remaiten”，通过下载可执行的恶意二进制文件，感染嵌入式平台和其他连接设备。

eset公司在官方微博上发布的文章中这样说道：

“最近，我们发现了一个结合了tsunami(也称为kaiten)和gafgyt的功能的恶意软件，此外，它还具备一些改进和新增功能。我们把这种新的威胁称之为linux/ remaiten。到目前为止，我们已经发现linux / remaiten的三个版本，版本2.0，2.1和2.2。根据代码显示结果，发现者将这种新的恶意软件称之为“ktn-remastered” 或是 “ktn-rm”。”

linux恶意软件是如何运行的？

该恶意软件首先进行远程登录扫描，寻找路由器和智能设备。一旦连接成功，恶意软件将对登录凭据进行猜测，试图掌控一些存在弱口令的设备。

如果成功登录，恶意软件会发出一个shell命令给下载机器人，下载针对多种系统架构的恶意二进制文件，随后将其运行在受损系统上。

eset的安全研究人员还发现，这些二进制文件包括c&c服务器的ip地址硬编码列表，机器人还将受感染的设备信息(即ip地址、登录凭据、感染状态)发送至控制服务器上。

“当指令执行远程登录扫描，它会尝试连接23端口的随机ip地址。如果连接成功，它会尝试从用户名/密码组合的嵌入列表中猜测登录凭据。如果成功登录，它会发出一个shell命令给下载机器人，下载针对多种架构的恶意二进制文件，并试图运行它们。这是一个尽管看起来略显繁琐却很简单的感染新的设备的方式，因为很可能就存在一个二进制文件可以在运行程序中执行。”

本文转自d1net（转载）