雷鋒網(wǎng)消息，2月14日，據(jù)外媒報道，黑客正在構建一個獨特的僵尸網(wǎng)絡，第一次將兩個攻擊捆綁在一起，試圖繞過企業(yè)防火墻并感染設備。

據(jù)NewSky Security(青天科技)的研究人員發(fā)現(xiàn)，該僵尸網(wǎng)絡被“巧妙地”命名為DoubleDoor。Ankit Anubhav是News Security首席研究員，他表示，DoubleDoor惡意軟件試圖利用兩個后面進行攻擊，如下圖所示：

他透露，DoubleDoor攻擊者會利用第一個漏洞繞過Juniper Netscreen防火墻，然后再使用第二個漏洞掃描內部網(wǎng)絡找到ZyXEL路由。

物聯(lián)網(wǎng)僵尸網(wǎng)絡第一次鏈接兩個漏洞

在接受外媒采訪時，Anubhav表示，這是物聯(lián)網(wǎng)僵尸網(wǎng)絡第一次將兩個漏洞鏈接在一起，然后利用這種方式感染設備。他說道：

“這是我們第一次看到物聯(lián)網(wǎng)僵尸網(wǎng)絡進行兩層攻擊，而且他們甚至早就已經(jīng)準備好了穿越防火墻。事實上，這種多層次的攻擊通常只會發(fā)生在Windows操作系統(tǒng)上?！?/p>

他繼續(xù)補充表示：

“Satori/Reaper已經(jīng)開始使用該漏洞進行攻擊了，但問題是，這些漏洞似乎可以針對不同類型的設備進行攻擊。如果攻擊者發(fā)現(xiàn)了一個DLink設備，那么它會使用這個漏洞；而如果他們發(fā)現(xiàn)了一個華為設備，也會利用這一漏洞?！?/p>

Anubhav認為，過去絕大多數(shù)物聯(lián)網(wǎng)惡意軟件之所以能夠得逞，主要原因還是因為設備的開發(fā)邏輯過于簡單。

DoubleDoor僵尸網(wǎng)絡似乎尚未構成嚴重威脅

在1月18-27日期間，根據(jù)分析該僵尸網(wǎng)絡的攻擊，研究人員發(fā)現(xiàn)黑客的IP地址均來自韓國。

但是，Anubhav表示，目前僵尸網(wǎng)絡尚未構成嚴重威脅，DoubleDoor目前仍然處于發(fā)展階段，所以他們還是在繼續(xù)“工作”。他說道：

“相比于Mirai、Satori、Asuna或Daddy33t這些惡意軟件，DoubleDoor的攻擊數(shù)量還比較少?！?/p>

根據(jù)NewSky的安全專家表示，目前攻擊數(shù)量規(guī)模較小的主要原因，可能是因為他們只針對了很小一部分設備，比如面向互聯(lián)網(wǎng)開放的yXEL PK5001Z路由器、以及受企業(yè)級Juniper Netscreen防火墻保護的ZyXEL PK5001Z路由器。

Anubhav繼續(xù)補充說道：

“這些路由器通常都部署在企業(yè)里。”

因此他發(fā)出警告，提醒人們注意DoubleDoor開發(fā)者試圖感染的對象可能是企業(yè)。

DoubleDoor暫時不會做任何事情

雷鋒網(wǎng)了解到，現(xiàn)在唯一的好消息，似乎就有DoubleDoor在入侵ZyXEL設備之后，沒有做任何特別的事情，只是將其添加到了僵尸網(wǎng)絡之中。

Anubhav表示：

“這次可能是一次試運行，或者他們只是在默默等待發(fā)起更大規(guī)模的攻擊?！?/p>

正如Anubhav所指出的那樣，目前DoubleDoor似乎仍然處于開發(fā)階段，所以我們可能很快就會開發(fā)黑客針對其他不同類型的設備（比如DLink、華為和Netgear等）漏洞進行擴展。

不僅如此，該僵尸網(wǎng)絡可能還會嘗試DDos攻擊，將惡意軟件傳播到內部Windows網(wǎng)絡，繼而引發(fā)更大的侵擾。

但是，即便DoubleDoor不做任何其他行為、并就此消失，這種雙重利用防火墻漏洞的黑客技術已經(jīng)引起了其他物聯(lián)網(wǎng)僵尸網(wǎng)絡黑客的關注，也許我們很快就會看到其他惡意軟件“變種”。

雷鋒網(wǎng)VIA bleepingcomputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。