来自中国技术巨头奇虎 360 网络安全部门 Netlab 的研究人员发现了一个名为 HEH 的新僵尸网络,其中包含清除来自受感染系统(如路由器,IoT 设备和服务器)的所有数据的代码。
专家注意到,该恶意软件支持多种 CPU 体系结构,包括 x86(32/64),ARM(32/64),MIPS(MIPS32 / MIPS-III)和 PPC,它是用 Go 开源编程语言编写的。
僵尸网络通过发动暴力攻击,将 SSH 端口(23 和 2323)在线暴露的系统作为目标。
该名称来自示例内部的项目,专家分析的系列示例由作者在 Windows 平台的 WSL 环境中构建。
一旦获得对设备的访问权限,该 bot 就会下载安装 HEH 恶意软件的七个二进制文件之一。
对 HEH Bot 的分析显示,它包含三个功能模块:传播模块,本地 HTTP 服务模块和 P2P 模块。
专家指出,该僵尸程序不包含任何攻击性功能,例如发起 DDoS 攻击或挖掘加密货币的能力,这种情况表明该恶意软件正在开发中。
“目前,整个僵尸网络最有用的功能是 执行 Shell 命令, 更新对等列表 和 UpdateBotFile。 代码中的 Attack 函数只是一个保留的空函数,尚未实现。可以看出僵尸网络仍处于发展阶段。我们将看到作者提出了 Attack 功能。” 阅读研究人员发表的分析。
在 Bot 中解析 Bot Cmd 的函数是 main.executeCommand(),这是专家们注意到的最值得注意的功能,它与代码为 8 的 cmd 有关 。当 Bot 收到此命令时,它将尝试通过一系列 Shell 命令擦除磁盘上的内容。
新型HEH僵尸网络清除后可能会阻塞设备
该恶意软件能够擦除家庭路由器,物联网(IoT)智能设备和 Linux 服务器中的内容。
即使僵尸网络仍在传播,专家们注意到僵尸网络的实施还存在其他主要问题,例如,P2P 实施仍然存在漏洞。专家注意到,Bot 确实在内部维护对等列表,并且同级之间仍在进行 Ping–Pong 通信,但是整个僵尸网络仍可以使用集中式模型。在当前版本中,每个节点无法将控制命令发送到其对等方。