新型 HEH 僵尸删除路由器、IoT 设备、Linux 服务器的数据

来自中国技术巨头奇虎360网络安全部门Netlab的研究人员发现了一个名为HEH的新僵尸网络，其中包含清除来自受感染系统（如路由器，IoT设备和服务器）的所有数据的代码。

专家注意到，该恶意软件支持多种CPU体系结构，包括x86（32/64），ARM（32/64），MIPS（MIPS32 / MIPS-III）和PPC，它是用Go开源编程语言编写的。

僵尸网络通过发动暴力攻击，将SSH端口（23和2323）在线暴露的系统作为目标。

该名称来自示例内部的项目，专家分析的系列示例由作者在Windows平台的WSL环境中构建。

一旦获得对设备的访问权限，该bot就会下载安装HEH恶意软件的七个二进制文件之一。

对HEH Bot的分析显示，它包含三个功能模块：传播模块，本地HTTP服务模块和P2P模块。

专家指出，该僵尸程序不包含任何攻击性功能，例如发起DDoS攻击或挖掘加密货币的能力，这种情况表明该恶意软件正在开发中。

“目前，整个僵尸网络最有用的功能是 执行Shell命令， 更新对等列表 和 UpdateBotFile。 代码中的 Attack 函数只是一个保留的空函数，尚未实现。可以看出僵尸网络仍处于发展阶段。我们将看到作者提出了 Attack 功能。”阅读研究人员发表的分析。

在Bot中解析Bot Cmd的函数是main.executeCommand（），这是专家们注意到的最值得注意的功能，它与代码为8的cmd有关 。当Bot收到此命令时，它将尝试通过一系列Shell命令擦除磁盘上的内容。

该恶意软件能够删除家庭路由器，物联网（IoT）智能设备和Linux服务器中的内容。

即使僵尸网络仍在传播，专家们注意到僵尸网络的实施还存在其他主要问题，例如，P2P实施仍然存在漏洞。专家注意到，Bot确实在内部维护对等列表，并且同级之间仍在进行Ping–Pong通信，但是整个僵尸网络仍可以使用集中式模型。在当前版本中，每个节点无法将控制命令发送到其对等方。

“话虽这么说，新的和正在开发的P2P结构，多CPU架构支持，嵌入式自毁功能，都使该僵尸网络具有潜在的危险。”