研究人員在星期三說，一個新發現的以家用路由器，錄像機和其他網絡連接設備為食的僵尸網絡是有史以來最先進的物聯網平臺之一。其高級功能列表包括將惡意流量偽裝為良性，保持持久性以及感染至少運行在12個不同CPU上的設備的能力。

防病毒提供商Bitdefender的研究人員將所謂的dark_nexus描述為“新的物聯網僵尸網絡，其中包含了使我們所看到的大多數物聯網僵尸網絡和惡意軟件蒙羞的新特性和功能?！?在Bitdefender跟蹤的三個月中，dark_nexus經歷了30個版本更新，因為其開發人員穩步添加了更多功能。

證據顯示

該惡意軟件已經感染了至少1，372臺設備，其中包括錄像機，熱像儀以及由Dasan，Zhone，Dlink和ASUS制造的家用和小型辦公室路由器。研究人員預計，隨著dark_nexus開發的繼續，更多的設備模型將受到影響。

關于其他物聯網僵尸網絡，研究人員在一份報告中寫道：“我們的分析確定，盡管dark_nexus重用了一些Qbot和Mirai代碼，但其核心模塊大多是原始的。盡管它可能與以前已知的物聯網僵尸網絡共享某些功能，但其某些模塊的開發方式使其功能更加強大且強大。”

僵尸網絡通過猜測常用的管理員密碼和利用安全漏洞進行了傳播。增加受感染設備數量的另一個功能是它可以針對運行在廣泛CPU上的系統進行定位的能力，這些系統包括：

arm：ELF 32位LSB可執行文件，ARM，版本1（ARM），靜態鏈接，已剝離

arm5：ELF 32位LSB可執行文件，ARM，版本1（ARM），靜態鏈接，已剝離

arm6：ELF 32位LSB可執行文件，ARM，EABI4版本1（GNU / Linux），靜態鏈接，已剝離

arm7：ELF 32位LSB可執行文件，ARM，EABI4版本1（GNU / Linux），靜態鏈接，已剝離

mpsl：ELF 32位LSB可執行文件，MIPS，MIPS-I版本1（SYSV），靜態鏈接，已剝離

mips：ELF 32位MSB可執行文件，MIPS，MIPS-I版本1（SYSV），靜態鏈接，已剝離

i586：ELF 32位LSB可執行文件，Intel 80386版本1（GNU / Linux），靜態鏈接，已剝離

x86：ELF 64位LSB可執行文件，x86-64版本1（SYSV），靜態鏈接，已剝離

spc：ELF 32位MSB可執行文件，SPARC，版本1（SYSV），靜態鏈接，已剝離

m68k：ELF 32位MSB可執行文件，Motorola m68k，68020，版本1（SYSV），靜態鏈接，已剝離

ppc：ELF 32位MSB可執行文件，PowerPC或cisco 4500，版本1（GNU / Linux），靜態鏈接，已剝離

弧線：

sh4：ELF 32位LSB可執行文件，瑞薩SH，版本1（SYSV），靜態鏈接，已剝離

rce：

Bitdefender的報告稱，盡管dark_nexus傳播模塊包含針對ARC和Motorola RCE體系結構的代碼，但到目前為止，研究人員仍無法找到針對這些體系結構編譯的惡意軟件樣本。

dark_nexus的主要目的是執行分布式拒絕服務攻擊，通過向網站和其他在線服務注入過多的垃圾流量，使網站和其他在線服務脫機。為了使這些攻擊更有效，惡意軟件具有一種機制，可以使惡意流量看起來像是由Web瀏覽器發送的良性數據。

dark_nexus中的另一個高級功能使惡意軟件具有“最高”的安全性，可以勝過可能安裝在受感染設備上的任何其他惡意軟件。最高機制使用評分系統來評估設備上運行的各種進程的可信賴性。已知為良性的進程將自動列入白名單。

無法識別的過程會獲得某些類型特征的得分。例如，一個在運行時被刪除的進程（一種常見于惡意代碼的行為）得分為90?！?/ tmp /”，“ / var /”或“ / dev /”等目錄中的可執行文件惡意軟件的惡意信號-得分為90。其他特征從10到90分。任何獲得100分或以上的進程都會被自動殺死。

Dark_nexus還可以終止重啟過程，該功能可使惡意軟件在設備上運行更長的時間，因為大多數物聯網惡意軟件無法在重啟后幸存。為了使感染更加隱蔽，開發人員使用已經被破壞的設備來提供漏洞利用和有效載荷。

誰是希臘太陽神？

dark_nexus的早期版本在打印橫幅時包含字符串“ @ greek.helios”。該字符串還出現在Marai惡意軟件的變體“ hoho”的2018年版本中。hoho和dark_nexus都包含Mirai和Qbot代碼。Bitdefender研究人員很快發現，“希臘Helios”是銷售物聯網僵尸網絡惡意軟件和DDoS服務的在線角色所使用的名稱。這個由希臘人helios用戶托管的Youtube頻道收錄了一些宣傳惡意軟件和所提供服務的視頻。

周三的報告說，一個視頻顯示了一個計算機桌面，該計算機桌面具有一個IP地址的快捷方式，該地址最早在去年12月出現在Bitdefender的蜜罐日志中，作為dark_nexus命令和控制服務器。這些和其他一些線索使研究人員懷疑這個人在dark_nexus之后。

如上圖所示，dark_nexus感染在中國最常見，有653個節點被檢測為受到感染。接下來受影響最嚴重的四個國家是大韓民國（261個），泰國（172個），巴西（151個）和俄羅斯（148個）。在美國檢測到68種感染。

憑借能夠感染各種設備的能力和積極進取的開發人員，并且制定了雄心勃勃的更新計劃，看到該僵尸網絡在未來幾個月內的增長也就不足為奇了。