雷鋒網(公眾號:雷鋒網)消息,想要成為一名黑客?但你最好小心一些免費的黑客工具,因為其中不少都是騙局。最近,安全專家報告了幾起假冒黑客工具隱藏後門的案例,其中就有一個虛假的 Facebook 黑客工具和Cobian RAT。
近日,安全專家 Ankit Anubhav 又發現了新黑客工具,它已經在數個地下黑客論壇上部署了後門程序。這個黑客工具是一個免費的 PHP 腳本,允許用戶掃描網際網路上一些比較容易受到攻擊的 IP 攝像頭,這些攝像頭程序基本基於 GoAhead 開源嵌入式 Web Server 運行。(註:GoAhead是一個開源、簡單、輕巧、功能強大、可以在多個平臺運行的嵌入式 Web Server。GoAhead Web Server是為嵌入式實時作業系統量身定製的 Web 伺服器。)
Ankit Anubhav 在一篇博文寫道:
「針對使用嵌入式 GoAhead 伺服器物聯網設備的黑客市場似乎非常火熱,這是因為大量 IP 攝像頭可以被黑客利用 CVE-2017–8225 這樣的漏洞輕鬆入侵,而且這種黑客手段已經被 IoTroop/Reaper殭屍網絡成功採用了。」
「2017年10月22日,我們觀察到一個經常託管物聯網殭屍網絡腳本的暗網,他們提供了一段新腳本代碼,並標記為 NEW IPCAM EXPLOIT。這個腳本可幫助黑客找到一些容易受到攻擊的、使用嵌入式 GoAhead 伺服器的物聯網設備,讓黑客工作更輕鬆。」
可是,安全專家分析了這個「NEW IPCAM EXPLOIT」代碼腳本,發現竟包含了攻擊黑客的惡意代碼,這意味著,如果這個工具被部署在某個殭屍網絡,那麼該腳本背後的黑客就能使用工具來接管它。
經過全方位解碼後,安全專家們發現,「NEW IPCAM EXPLOIT 」惡意腳本會通過檢查所有「GoAhead-Webs」標記,掃描 GoAhead 嵌入式伺服器上的全網設備。但在腳本底部有一個後門程序,它會使用一個 shell 腳本連接到一個「惡意伺服器」,然後下載一個二級腳本,再執行該腳本。
這個「 NEW IPCAM EXPLOIT 」物聯網掃描腳本按照以下四個步驟操作:
1、該黑客腳本會掃描一組 IP 地址,查詢到一些比較容易追蹤的 GoAhead 伺服器,這些伺服器通常都可以通過 CVE-2017–8225 這樣的漏洞繞過身份驗證。利用這些漏洞,「 NEW IPCAM EXPLOIT 」腳本會侵入到Wireless IP Camera (P2P) WIFI CAM 設備中。
2、接下來,「 NEW IPCAM EXPLOIT 」腳本會創建一個用戶帳號(用戶名:VM|密碼:Meme123),之後會在網絡犯罪者的系統上建立一個秘密後門,然後獲得被侵入系統相同的特權。
3、第三步,「NEW IPCAM EXPLOIT」黑客腳本會確定網絡犯罪者系統的 IP 地址,以便遠程訪問受到惡意軟體感染的系統。
4、「 NEW IPCAM EXPLOIT 」黑客腳本會在被感染者的系統上運行一個二級負載,而在某些特定情況下,該腳本還會安裝 Kaiten 惡意軟體。
雷鋒網了解到,外媒 BleepingCompuer 的安全專家對該惡意軟體又進行了深入研究,發現這款黑客軟體的開發者已經將其作為一款黑客工具,發布上傳到了網際網路上。
據 BleepingComputer 網站的一篇報導稱:
「通過深入挖掘這款後門程序開發者曾經使用過的一些 ID,我們發現這不是他第一次發布類似的後門惡意軟體,他此前也曾和其他一些黑客交過手,因為 Anubhav 在追蹤這名黑客的時候發現了一個文檔,其中羅列了不少其他黑客的名字。」
雷鋒網翻譯自 securityaffairs
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。