雷鋒網消息, 想要成為一名駭客?但你最好小心一些免費的駭客工具, 因為其中不少都是騙局。 最近, 安全專家報告了幾起假冒駭客工具隱藏後門的案例, 其中就有一個虛假的 Facebook 駭客工具和Cobian RAT。
近日, 安全專家 Ankit Anubhav 又發現了新駭客工具, 它已經在數個地下駭客論壇上部署了後門程式。 這個駭客工具是一個免費的 PHP 腳本, 允許使用者掃描互聯網上一些比較容易受到攻擊的 IP 攝像頭, 這些攝像頭程式基本基於 GoAhead 開源嵌入式 Web Server 運行。 (注:GoAhead是一個開源、簡單、輕巧、功能強大、可以在多個平臺運行的嵌入式 Web Server。 GoAhead Web Server是為嵌入式即時操作系統量身定制的 Web 伺服器。
Ankit Anubhav 在一篇博文寫道:
“針對使用嵌入式 GoAhead 伺服器物聯網設備的駭客市場似乎非常火熱, 這是因為大量 IP 攝像頭可以被駭客利用 CVE-2017–8225 這樣的漏洞輕鬆入侵, 而且這種駭客手段已經被 IoTroop/Reaper僵屍網路成功採用了。 ”
“2017年10月22日, 我們觀察到一個經常託管物聯網僵屍網路腳本的暗網, 他們提供了一段新腳本代碼, 並標記為 NEW IPCAM EXPLOIT。 這個腳本可幫助駭客找到一些容易受到攻擊的、使用嵌入式 GoAhead 伺服器的物聯網設備, 讓駭客工作更輕鬆。 ”
可是, 安全專家分析了這個“NEW IPCAM EXPLOIT”代碼腳本, 發現竟包含了攻擊駭客的惡意程式碼, 這意味著, 如果這個工具被部署在某個僵屍網路, 那麼該腳本背後的駭客就能使用工具來接管它。
經過全方位解碼後,
這個“ NEW IPCAM EXPLOIT ”物聯網掃描腳本按照以下四個步驟操作:
1、該駭客腳本會掃描一組 IP 位址, 查詢到一些比較容易追蹤的 GoAhead 伺服器, 這些伺服器通常都可以通過 CVE-2017–8225 這樣的漏洞繞過身份驗證。 利用這些漏洞, “ NEW IPCAM EXPLOIT ”腳本會侵入到Wireless IP Camera (P2P) WIFI CAM 設備中。
2、接下來, “ NEW IPCAM EXPLOIT ”腳本會創建一個用戶帳號(用戶名:VM|密碼:Meme123), 之後會在網路犯罪者的系統上建立一個秘密後門, 然後獲得被侵入系統相同的特權。
3、第三步, “NEW IPCAM EXPLOIT”駭客腳本會確定網路犯罪者系統的 IP 位址, 以便遠端存取受到惡意軟體感染的系統。
4、“ NEW IPCAM EXPLOIT ”駭客腳本會在被感染者的系統上運行一個二級負載, 而在某些特定情況下, 該腳本還會安裝 Kaiten 惡意軟體。
雷鋒網瞭解到, 外媒 BleepingCompuer 的安全專家對該惡意軟體又進行了深入研究, 發現這款駭客軟體的開發者已經將其作為一款駭客工具,
據 BleepingComputer 網站的一篇報導稱:
“通過深入挖掘這款後門程式開發者曾經使用過的一些 ID, 我們發現這不是他第一次發佈類似的後門惡意軟體, 他此前也曾和其他一些駭客交過手, 因為 Anubhav 在追蹤這名駭客的時候發現了一個文檔, 其中羅列了不少其他駭客的名字。 ”
雷鋒網翻譯自 securityaffairs