Dark Nexus 僵尸網絡如何傳播

Dark Nexus利用被黑的智能設備來發起DDoS攻擊，通過平臺來提供DDoS 租賃服務。

Dark Nexus 通過憑證填充對路由器（Dlink、ASUS等知名品牌）、視頻錄像機、溫感攝像機等不同種類的設備發起攻擊，使其加入到僵尸網絡中來。

僵尸主機使用了2個模塊來進行一個傳播，一個是同步模塊，另一個是異步模塊。在開啟同步掃描器時，僵尸主機會生成一個執init_syn_bruter函數的進程。在異步機制中，C2會發布一個特定的命令，指明IP和端口。這些信息保存在一個隊列——dynamic_queue_head中。僵尸主機會維護一個大小為250的連接列表——bruting_conns。主僵尸主機進程會服用這些連接創建的socket。此外，還會周期性地檢查所有連接的timeout，包括到C2的連接。在與C2通信時，就發送一個注冊消息。

同步sync (init_syn_bruter)和異步async (fd_event) 機制中都實現了Telnet 協議，并嘗試通過預定義的憑證以暴力破解的方式來進行認證。當同步暴力破解器報告受害者給報告服務器時，事實上是發送了一個感染payload，異步機制只通過C2 socket發送一個含有IP、端口和發現的憑證的消息。在一些版本中，異步報告器也會報告給報告服務器（維持蠕蟲行為）。通信方法也是不同的，有些樣本中是通過TCP 12000或13000端口，有些是通過UDP的12000或13000端口，有的是通過C2 socket（TCP 30047端口）。