来看看dark_nexus它很可能是有史以来最强大的物联网僵尸网络

研究人员于本周三称，一个新发现的僵尸网络以家庭路由器、录像机和其他联网设备为攻击目标，它是迄今为止发现的最先进的物联网平台之一。它的高级功能列表包括将恶意流量伪装成良性流量、保持持久性和感染至少在12个不同cpu上运行的设备。

杀毒软件提供商Bitdefender的研究人员将这种所谓的dark_nexus描述为“一种新的物联网僵尸网络，它包含了我们所见过的大多数物联网僵尸网络和恶意软件所不具备的新特性和新功能。”在Bitdefender追踪它的三个月里，dark_nexus经历了30个版本的更新，因为它的开发者已经稳定地添加了更多的特性和功能。

该恶意软件已经感染了至少1372台设备，其中包括录像机、热成像相机，以及Dasan、Zhone、Dlink和ASUS生产的家庭和小型办公路由器。研究人员预计，随着dark_nexus的开发继续，将会有更多的设备模型受到影响。

在提到其他物联网僵尸网络时，研究人员在一份报告中写道:“我们的分析表明，尽管dark_nexus重复使用了一些Qbot和Mirai代码，但它的核心模块大多是原创的。虽然它可能会与之前已知的物联网僵尸网络共享一些功能，但它的一些模块的开发方式使其功能更加强大。”

僵尸网络通过猜测常见的管理员密码和利用安全漏洞来传播。增加受感染设备数量的另一个特性是，它能够针对运行在各种cpu上的系统，包括:

Bitdefender的报告说，虽然dark_nexus传播模块包含针对ARC和摩托罗拉RCE架构的代码，但是研究人员迄今为止还没有找到为这些架构编译的恶意软件样本。

dark_nexus的主要目的是执行分布式拒绝服务攻击，这种攻击通过向网站和其他在线服务注入超过它们所能处理的垃圾流量，使它们下线。为了使这些攻击更有效，恶意软件有一种机制，使恶意流量看起来像是Web浏览器发送的良性数据。

dark_nexus的另一项高级功能使恶意软件在可能安装在受感染设备上的任何其他恶意软件中占据“优势”。至上机制使用一个评分系统来评估设备上运行的各种进程的可信度。已知为良性的进程将被自动白名单。

未被识别的过程会获得某些类型特征的分数。例如，一个进程在运行时被删除——这是恶意代码的常见行为——会得到90分。目录中的可执行文件，如“/tmp/”、“/var/”或“/dev/”——另一个恶意软件的标志——得到90分。其他特性得到10到90分。任何收到100点或更多的进程都会被自动杀死。

Dark_nexus还可以终止重启过程，这一功能可以让恶意软件在设备上运行更长时间，因为大多数物联网恶意软件无法在重启后继续运行。为了让感染变得更加隐蔽，开发者使用已经受损的设备来发布攻击和有效载荷。

早期版本的dark_nexus包含字符串“@greek”。赫利俄斯"当他们印刷横幅的时候。该字符串也出现在2018年发布的“hoho”中，这是Marai恶意软件的变种。hoho和dark_nexus都包含了Mirai和Qbot代码。Bitdefender的研究人员很快发现“希腊太阳神”是一个销售物联网僵尸网络恶意软件和DDoS服务的在线角色的名字。这个Youtube频道由一个名叫希腊太阳神的用户主持，播放了几个宣传恶意软件和服务的视频。

周三的报道称，其中一段视频显示，早在去年12月，Bitdefender的honeypot日志中就显示了一个带有IP地址快捷方式的电脑桌面，作为dark_nexus命令与控制服务器。这些和其他一些线索使研究人员怀疑这个人是暗黑关系的幕后黑手。

如上图所示，dark_nexus感染在中国最为常见，共有653个节点被检测到感染。紧随其后的四个受影响最严重的国家是大韩民国(261个)、泰国(172个)、巴西(151个)和俄罗斯(148个)。美国共发现68例感染病例。

僵尸网络有能力感染多种设备，而且开发人员有雄心勃勃的更新计划，所以在未来几个月看到僵尸网络的增长也就不足为奇了。