新型 HEH 僵尸刪除路由器、IoT 設備、Linux 服務器的數據

來自中國技術巨頭奇虎360網絡安全部門Netlab的研究人員發現了一個名為HEH的新僵尸網絡，其中包含清除來自受感染系統（如路由器，IoT設備和服務器）的所有數據的代碼。

專家注意到，該惡意軟件支持多種CPU體系結構，包括x86（32/64），ARM（32/64），MIPS（MIPS32 / MIPS-III）和PPC，它是用Go開源編程語言編寫的。

僵尸網絡通過發動暴力攻擊，將SSH端口（23和2323）在線暴露的系統作為目標。

該名稱來自示例內部的項目，專家分析的系列示例由作者在Windows平臺的WSL環境中構建。

一旦獲得對設備的訪問權限，該bot就會下載安裝HEH惡意軟件的七個二進制文件之一。

對HEH Bot的分析顯示，它包含三個功能模塊：傳播模塊，本地HTTP服務模塊和P2P模塊。

專家指出，該僵尸程序不包含任何攻擊性功能，例如發起DDoS攻擊或挖掘加密貨幣的能力，這種情況表明該惡意軟件正在開發中。

“目前，整個僵尸網絡最有用的功能是 執行Shell命令， 更新對等列表 和 UpdateBotFile。 代碼中的 Attack 函數只是一個保留的空函數，尚未實現。可以看出僵尸網絡仍處于發展階段。我們將看到作者提出了 Attack 功能。”閱讀研究人員發表的分析。

在Bot中解析Bot Cmd的函數是main.executeCommand（），這是專家們注意到的最值得注意的功能，它與代碼為8的cmd有關 。當Bot收到此命令時，它將嘗試通過一系列Shell命令擦除磁盤上的內容。

該惡意軟件能夠刪除家庭路由器，物聯網（IoT）智能設備和Linux服務器中的內容。

即使僵尸網絡仍在傳播，專家們注意到僵尸網絡的實施還存在其他主要問題，例如，P2P實施仍然存在漏洞。專家注意到，Bot確實在內部維護對等列表，并且同級之間仍在進行Ping–Pong通信，但是整個僵尸網絡仍可以使用集中式模型。在當前版本中，每個節點無法將控制命令發送到其對等方。

“話雖這么說，新的和正在開發的P2P結構，多CPU架構支持，嵌入式自毀功能，都使該僵尸網絡具有潛在的危險。”