.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
研究人員發現一款基於Go的多平台惡意軟件——NKAbuse,這是首個發現的濫用新網絡技術(NKN)進行數據交換的惡意軟件。
NKNNKN(新網絡技術)是一種使用區塊鏈技術管理資源和維護安全以及透明模型的去中心化點對點網絡協議。 NKN的作用之一是優化數據傳輸速率和網絡延遲,具體步驟是通過計算高效的數據包傳遞路徑來實現的。與Tor網絡類似,個人用戶可以通過運行節點加入NKN網絡。目前,NKN網絡有大約60710個節點,大量階段的參與可以增強網絡的魯棒性、去中心化、以及處理大量數據的能力。
圖NKN的數據流動
NKAbuse惡意軟件NKAbuse是一款基於Go的多平台惡意軟件,這是首個濫用新網絡技術(NKN)進行數據交換的惡意軟件,主要攻擊位於墨西哥、哥倫比亞和越南的Linux主機。其中一個NKAbuse感染的案例利用了Apache Struts漏洞(CVE-2017-5638)來攻擊金融機構。雖然大多數攻擊的目標是Linux計算機,但惡意軟件也可以入侵物聯網設備,並支持MIPS、ARM和386架構。
DDoS攻擊NKAbuse錄用NKN公鏈協議來實現大量的洪氾攻擊,並在Linux系統中植入後門。具體來說,惡意軟件客戶端與殭屍主機通過NKN來發送和接收數據。 C2發送的payload命令包括針對特定目標的HTTP、TCP、UDP、PING、ICMP、SSL洪氾攻擊等。
圖DDoS攻擊命令
所有這些payload之前也被用於殭屍網絡,因此當與NKN相結合後,惡意軟件就可以等待管理主機發起混合攻擊。
RAT除了DDoS能力外,NKAbuse還可以在被入侵的系統中作為遠程訪問木馬(RAT),允許其運營者進行命令執行、數據竊取和截屏等操作。
圖NKAbuse的截屏功能
NKAbuse濫用NKN發起的DDoS攻擊很難溯源到特定的基礎設施,並且不會被大多數安全工具標記因為來源於一個新的協議。而使用區塊鏈技術可以確保可用性,複雜的攻擊源頭使得這一威脅變得很難應對。
更多參見:https://securelist.com/unveiling-nkabuse/111512/