僵尸网络 Hajime 实施新型攻击方式，劫持逾 30 万 IoT 设备

赛门铁克专家近期发现新型物联网（ IoT ）僵尸网络 Hajime 过去几个月内在巴西、伊朗等国家呈持续增长、迅速蔓延之势。目前，黑客已开始实施新型攻击方式，感染逾 30 万台 IoT 设备。

恶意软件 Hajime 于 2016 年 10 月被首次发现，采用了与僵尸网络 Mirai 相同的传播机制。据悉，该威胁目标主要为使用开放式 Telnet 端口与默认密码的不安全 IoT 设备。研究人员发现，Hajime 与 Mirai 具有几近相同的用户名和密码组合列表，但传播方式并非 C＆C 服务器，而是对等网络连接。赛门铁克专家表示，Hajime 无需任何 C＆C 服务器地址，仅通过控制器将命令模块推送至对等网络，消息随时间推移传播至所有对等网络。

Hajime 比 Mirai 更加复杂，实现了隐藏其活动与运行进程的更多机制。调查表明，该威胁具有允许运营商快速添加新型功能的模块化结构。分析报告显示，Hajime 并未执行分布式拒绝服务（ DDoS ）攻击或其他任何攻击代码，而是从控制器中提取语句并每隔 10 分钟在 IoT 终端上显示一次。该邮件采用数字签名，而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染，蠕虫将阻止访问端口 23、754、5555 与 5358，以防来自其他 IoT 威胁（包括 Mirai 在内）的攻击。

专家认为，Hajime 可能出自某个黑客义警之手，因为他们过去就曾发现类似代码，例如赛门铁克于 2015 年 10 月发现的 Linux.Wifatch。

图：Telnet 默认密码攻击

据悉，Hajime 作者仍在继续更新代码。卡巴斯基研究人员发现此人近期更改了引入 TR-069 协议的攻击模块。目前，该僵尸网络可实现三种不同的攻击方式：TR-069 协议利用、Telnet 默认密码攻击与 Arris 电缆调制解调器密码日常攻击。此外，卡巴斯基专家发现，僵尸网络 Hajime 几乎可以针对互联网上的任何设备发动攻击。

在卡巴斯基研究人员看来，Hajime 最耐人寻味之在于动机。截至目前，攻击模块中引入 TR-069 协议的做法使僵尸网络规模日益扩大，但具体动机仍不为人知。尽管暂未发现僵尸网络 Hajime 被用于任何类型攻击或恶意活动，仍建议 IoT 设备用户将密码更改为难以暴力破解的形式并尽可能更新固件。

from hackernews.cc.thanks for it.