据外媒报道,黑客正在构建一个独特的僵尸网络,第一次将两个攻击捆绑在一起,试图绕过企业防火墙并感染设备。据NewSky Security(青天科技)的研究人员发现,该僵尸网络被“巧妙地”命名为DoubleDoor。Ankit Anubhav是News Security首席研究员,他表示,DoubleDoor恶意软件试图利用两个后面进行攻击,如下图所示:
他透露,DoubleDoor攻击者会利用第一个漏洞绕过Juniper Netscreen防火墙,然后再使用第二个漏洞扫描内部网络找到ZyXEL路由。
物联网僵尸网络第一次链接两个漏洞
在接受外媒采访时,Anubhav表示,这是物联网僵尸网络第一次将两个漏洞链接在一起,然后利用这种方式感染设备。他说道:
“这是我们第一次看到物联网僵尸网络进行两层攻击,而且他们甚至早就已经准备好了穿越防火墙。事实上,这种多层次的攻击通常只会发生在Windows操作系统上。”
他继续补充表示:
“Satori/Reaper已经开始使用该漏洞进行攻击了,但问题是,这些漏洞似乎可以针对不同类型的设备进行攻击。如果攻击者发现了一个DLink设备,那么它会使用这个漏洞;而如果他们发现了一个华为设备,也会利用这一漏洞。”
Anubhav认为,过去绝大多数物联网恶意软件之所以能够得逞,主要原因还是因为设备的开发逻辑过于简单。
DoubleDoor僵尸网络似乎尚未构成严重威胁
在1月18-27日期间,根据分析该僵尸网络的攻击,研究人员发现黑客的IP地址均来自韩国。
但是,Anubhav表示,目前僵尸网络尚未构成严重威胁,DoubleDoor目前仍然处于发展阶段,所以他们还是在继续“工作”。他说道:
“相比于Mirai、Satori、Asuna或Daddy33t这些恶意软件,DoubleDoor的攻击数量还比较少。”
根据NewSky的安全专家表示,目前攻击数量规模较小的主要原因,可能是因为他们只针对了很小一部分设备,比如面向互联网开放的yXEL PK5001Z路由器、以及受企业级Juniper Netscreen防火墙保护的ZyXEL PK5001Z路由器。
Anubhav继续补充说道:
“这些路由器通常都部署在企业里。”
因此他发出警告,提醒人们注意DoubleDoor开发者试图感染的对象可能是企业。
DoubleDoor暂时不会做任何事情
现在唯一的好消息,似乎就有DoubleDoor在入侵ZyXEL设备之后,没有做任何特别的事情,只是将其添加到了僵尸网络之中。
Anubhav表示:
“这次可能是一次试运行,或者他们只是在默默等待发起更大规模的攻击。”
正如Anubhav所指出的那样,目前DoubleDoor似乎仍然处于开发阶段,所以我们可能很快就会开发黑客针对其他不同类型的设备(比如DLink、华为和Netgear等)漏洞进行扩展。
不仅如此,该僵尸网络可能还会尝试DDos攻击,将恶意软件传播到内部Windows网络,继而引发更大的侵扰。
但是,即便DoubleDoor不做任何其他行为、并就此消失,这种双重利用防火墙漏洞的黑客技术已经引起了其他物联网僵尸网络黑客的关注,也许我们很快就会看到其他恶意软件“变种”。