认识dark_nexus，这可能是有史以来最强大的物联网僵尸网络

研究人员周三说，一个新发现的以僵尸路由器，录像机和其他网络连接设备为食的僵尸网络是迄今为止见到的最先进的物联网平台之一。其高级功能列表包括将恶意流量伪装为良性，保持持久性以及感染至少运行在12个不同CPU上的设备的能力。

防病毒提供商Bitdefender的研究人员将所谓的dark_nexus描述为“新的IoT僵尸网络，其中包含了使我们所看到的大多数IoT僵尸网络和恶意软件蒙羞的新特性和功能。” 在Bitdefender跟踪的三个月中，dark_nexus经历了30个版本更新，因为其开发人员稳步添加了更多功能。

更有力

该恶意软件已经感染了至少1,372台设备，其中包括录像机，热像仪以及由Dasan，Zhone，Dlink和ASUS制造的家用和小型办公室路由器。研究人员预计，随着dark_nexus开发的继续，更多的设备模型将受到影响。

关于其他物联网僵尸网络，研究人员在一份报告中写道：“我们的分析已确定，尽管dark_nexus重用了一些Qbot和Mirai代码，但其核心模块大部分是原始的。尽管它可能与以前已知的IoT僵尸网络共享某些功能，但其某些模块的开发方式使其功能更加强大且强大。”

僵尸网络通过猜测常用的管理员密码和利用安全漏洞进行了传播。增加受感染设备数量的另一个功能是它可以针对运行在广泛CPU上的系统进行定位的能力，这些系统包括：

• arm：ELF 32位LSB可执行文件，ARM，版本1（ARM），静态链接，已剥离
• arm5：ELF 32位LSB可执行文件，ARM，版本1（ARM），静态链接，已剥离
• arm6：ELF 32位LSB可执行文件，ARM，EABI4版本1（GNU / Linux），静态链接，已剥离
• arm7：ELF 32位LSB可执行文件，ARM，EABI4版本1（GNU / Linux），静态链接，已剥离
• mpsl：ELF 32位LSB可执行文件，MIPS，MIPS-I版本1（SYSV），静态链接，已剥离
• mips：ELF 32位MSB可执行文件，MIPS，MIPS-I版本1（SYSV），静态链接，已剥离
• i586：ELF 32位LSB可执行文件，Intel 80386版本1（GNU / Linux），静态链接，已剥离
• x86：ELF 64位LSB可执行文件，x86-64版本1（SYSV），静态链接，已剥离
• spc：ELF 32位MSB可执行文件，SPARC，版本1（SYSV），静态链接，已剥离
• m68k：ELF 32位MSB可执行文件，Motorola m68k，68020，版本1（SYSV），静态链接，已剥离
• ppc：ELF 32位MSB可执行文件，PowerPC或cisco 4500，版本1（GNU / Linux），静态链接，已剥离
• 弧线：
• sh4：ELF 32位LSB可执行文件，瑞萨SH，版本1（SYSV），静态链接，已剥离
• rce：

Bitdefender的报告称，尽管dark_nexus传播模块包含针对ARC和Motorola RCE体系结构的代码，但到目前为止，研究人员仍无法找到针对这些体系结构编译的恶意软件样本。

dark_nexus的主要目的是执行分布式拒绝服务攻击，通过向网站和其他在线服务注入过多的垃圾流量，使网站和其他在线服务脱机。为了使这些攻击更有效，恶意软件具有一种机制，可以使恶意流量看起来像是由Web浏览器发送的良性数据。

dark_nexus中的另一个高级功能使恶意软件具有“最高”的安全性，可以胜过可能安装在受感染设备上的任何其他恶意软件。最高机制使用评分系统来评估设备上运行的各种进程的可信赖性。已知为良性的进程将自动列入白名单。

无法识别的过程会获得某些类型特征的得分。例如，一个在运行时被删除的进程（一种常见于恶意代码的行为）得分为90。“ / tmp /”，“ / var /”或“ / dev /”等目录中的可执行文件恶意软件的恶意信号-得分为90。其他特征从10到90分。任何获得100分或以上的进程都会被自动杀死。

Dark_nexus还可以终止重启过程，该功能可使恶意软件在设备上运行更长的时间，因为大多数物联网恶意软件无法在重启后幸存。为了使感染更加隐蔽，开发人员使用已经被破坏的设备来提供漏洞利用和有效载荷。

谁是希腊太阳神？

dark_nexus的早期版本在打印横幅时包含字符串“ @ greek.helios”。该字符串还出现在Marai恶意软件的变体“ hoho”的2018年版本中。hoho和dark_nexus都包含Mirai和Qbot代码。Bitdefender研究人员很快发现，“希腊Helios”是销售IoT僵尸网络恶意软件和DDoS服务的在线角色所使用的名称。这个由希腊人helios用户托管的Youtube频道收录了一些宣传恶意软件和所提供服务的视频。

周三的报告说，一个视频显示了一个计算机桌面，该计算机桌面具有一个IP地址的快捷方式，该地址最早在去年12月出现在Bitdefender的蜜罐日志中，作为dark_nexus命令和控制服务器。这些和其他一些线索使研究人员怀疑这个人在dark_nexus之后。

如上图所示，dark_nexus感染在中国最常见，有653个节点被检测为受到感染。接下来受影响最严重的四个国家是大韩民国（261），泰国（172），巴西（151）和俄罗斯（148）。在美国检测到68种感染。

凭借能够感染各种设备的能力和积极进取的开发人员，并且制定了雄心勃勃的更新计划，看到该僵尸网络在未来几个月内的增长也就不足为奇了。