研究人員在星期三說，一個新發(fā)現(xiàn)的以家用路由器，錄像機和其他網(wǎng)絡連接設備為食的僵尸網(wǎng)絡是有史以來最先進的物聯(lián)網(wǎng)平臺之一。其高級功能列表包括將惡意流量偽裝為良性，保持持久性以及感染至少運行在12個不同CPU上的設備的能力。

防病毒提供商Bitdefender的研究人員將所謂的dark_nexus描述為“新的物聯(lián)網(wǎng)僵尸網(wǎng)絡，其中包含了使我們所看到的大多數(shù)物聯(lián)網(wǎng)僵尸網(wǎng)絡和惡意軟件蒙羞的新特性和功能。” 在Bitdefender跟蹤的三個月中，dark_nexus經(jīng)歷了30個版本更新，因為其開發(fā)人員穩(wěn)步添加了更多功能。

證據(jù)顯示

該惡意軟件已經(jīng)感染了至少1，372臺設備，其中包括錄像機，熱像儀以及由Dasan，Zhone，Dlink和ASUS制造的家用和小型辦公室路由器。研究人員預計，隨著dark_nexus開發(fā)的繼續(xù)，更多的設備模型將受到影響。

關于其他物聯(lián)網(wǎng)僵尸網(wǎng)絡，研究人員在一份報告中寫道：“我們的分析確定，盡管dark_nexus重用了一些Qbot和Mirai代碼，但其核心模塊大多是原始的。盡管它可能與以前已知的物聯(lián)網(wǎng)僵尸網(wǎng)絡共享某些功能，但其某些模塊的開發(fā)方式使其功能更加強大且強大?！?/p>

僵尸網(wǎng)絡通過猜測常用的管理員密碼和利用安全漏洞進行了傳播。增加受感染設備數(shù)量的另一個功能是它可以針對運行在廣泛CPU上的系統(tǒng)進行定位的能力，這些系統(tǒng)包括：

arm：ELF 32位LSB可執(zhí)行文件，ARM，版本1（ARM），靜態(tài)鏈接，已剝離

arm5：ELF 32位LSB可執(zhí)行文件，ARM，版本1（ARM），靜態(tài)鏈接，已剝離

arm6：ELF 32位LSB可執(zhí)行文件，ARM，EABI4版本1（GNU / Linux），靜態(tài)鏈接，已剝離

arm7：ELF 32位LSB可執(zhí)行文件，ARM，EABI4版本1（GNU / Linux），靜態(tài)鏈接，已剝離

mpsl：ELF 32位LSB可執(zhí)行文件，MIPS，MIPS-I版本1（SYSV），靜態(tài)鏈接，已剝離

mips：ELF 32位MSB可執(zhí)行文件，MIPS，MIPS-I版本1（SYSV），靜態(tài)鏈接，已剝離

i586：ELF 32位LSB可執(zhí)行文件，Intel 80386版本1（GNU / Linux），靜態(tài)鏈接，已剝離

x86：ELF 64位LSB可執(zhí)行文件，x86-64版本1（SYSV），靜態(tài)鏈接，已剝離

spc：ELF 32位MSB可執(zhí)行文件，SPARC，版本1（SYSV），靜態(tài)鏈接，已剝離

m68k：ELF 32位MSB可執(zhí)行文件，Motorola m68k，68020，版本1（SYSV），靜態(tài)鏈接，已剝離

ppc：ELF 32位MSB可執(zhí)行文件，PowerPC或cisco 4500，版本1（GNU / Linux），靜態(tài)鏈接，已剝離

弧線：

sh4：ELF 32位LSB可執(zhí)行文件，瑞薩SH，版本1（SYSV），靜態(tài)鏈接，已剝離

rce：

Bitdefender的報告稱，盡管dark_nexus傳播模塊包含針對ARC和Motorola RCE體系結(jié)構的代碼，但到目前為止，研究人員仍無法找到針對這些體系結(jié)構編譯的惡意軟件樣本。

dark_nexus的主要目的是執(zhí)行分布式拒絕服務攻擊，通過向網(wǎng)站和其他在線服務注入過多的垃圾流量，使網(wǎng)站和其他在線服務脫機。為了使這些攻擊更有效，惡意軟件具有一種機制，可以使惡意流量看起來像是由Web瀏覽器發(fā)送的良性數(shù)據(jù)。

dark_nexus中的另一個高級功能使惡意軟件具有“最高”的安全性，可以勝過可能安裝在受感染設備上的任何其他惡意軟件。最高機制使用評分系統(tǒng)來評估設備上運行的各種進程的可信賴性。已知為良性的進程將自動列入白名單。

無法識別的過程會獲得某些類型特征的得分。例如，一個在運行時被刪除的進程（一種常見于惡意代碼的行為）得分為90?！?/ tmp /”，“ / var /”或“ / dev /”等目錄中的可執(zhí)行文件惡意軟件的惡意信號-得分為90。其他特征從10到90分。任何獲得100分或以上的進程都會被自動殺死。

Dark_nexus還可以終止重啟過程，該功能可使惡意軟件在設備上運行更長的時間，因為大多數(shù)物聯(lián)網(wǎng)惡意軟件無法在重啟后幸存。為了使感染更加隱蔽，開發(fā)人員使用已經(jīng)被破壞的設備來提供漏洞利用和有效載荷。

誰是希臘太陽神？

dark_nexus的早期版本在打印橫幅時包含字符串“ @ greek.helios”。該字符串還出現(xiàn)在Marai惡意軟件的變體“ hoho”的2018年版本中。hoho和dark_nexus都包含Mirai和Qbot代碼。Bitdefender研究人員很快發(fā)現(xiàn)，“希臘Helios”是銷售物聯(lián)網(wǎng)僵尸網(wǎng)絡惡意軟件和DDoS服務的在線角色所使用的名稱。這個由希臘人helios用戶托管的Youtube頻道收錄了一些宣傳惡意軟件和所提供服務的視頻。

周三的報告說，一個視頻顯示了一個計算機桌面，該計算機桌面具有一個IP地址的快捷方式，該地址最早在去年12月出現(xiàn)在Bitdefender的蜜罐日志中，作為dark_nexus命令和控制服務器。這些和其他一些線索使研究人員懷疑這個人在dark_nexus之后。

如上圖所示，dark_nexus感染在中國最常見，有653個節(jié)點被檢測為受到感染。接下來受影響最嚴重的四個國家是大韓民國（261個），泰國（172個），巴西（151個）和俄羅斯（148個）。在美國檢測到68種感染。

憑借能夠感染各種設備的能力和積極進取的開發(fā)人員，并且制定了雄心勃勃的更新計劃，看到該僵尸網(wǎng)絡在未來幾個月內(nèi)的增長也就不足為奇了。