新型 ZHtrap 僵尸网络使用蜜罐找到更多受害者

Netlab 360的研究人员发现了一个新的基于Mirai的僵尸网络，称为ZHtrap，该僵尸网络实现了蜜罐来查找更多受害者。

ZHtrap使用四个漏洞进行传播，专家指出，僵尸网络主要用于进行DDoS攻击和扫描活动，同时集成了一些后门功能。

ZHtrap使用以下Nday漏洞进行攻击：

• JAWS_DVR_RCE
• NETGEAR
• CCTV_DVR_RCE
• CVE-2014-8361

ZHtrap支持多种架构，包括x86，ARM和MIPS。与Mirai相比，ZHtrap僵尸网络存在多种差异，例如，它对指令使用校验和机制，在扫描传播方面，它增加了真实设备和蜜罐之间的区别，对XOR加密算法进行了重新设计，并且它可以将受损的设备放入一个简单的蜜罐中，并实施一组过程控制机制。

专家注意到，该僵尸程序借用了Matryosh DDoS僵尸网络的某些实现。

研究人员分析了ZHtrap bot的多个样本，并根据其功能将其分为3个版本。v2版本基于v1并增加了漏洞利用功能，而v3基于v2并删除了网络基础架构。

ZHtrap僵尸网络通过集成用于收集IP地址的扫描IP收集模块来使用蜜罐，这些IP地址用作进一步传播活动的目标。

“与我们之前分析过的其他僵尸网络相比，ZHtrap最有趣的部分是它能够 将受感染的设备变成蜜罐。” 阅读Netlab 360发表的分析。“安全研究人员通常将蜜罐用作捕获攻击的工具，例如收集扫描，漏洞利用和样本。但是这次，我们发现ZHtrap通过集成扫描IP收集模块使用了类似的技术，并且所收集的IP被用作其自己的扫描模块中的目标。”

ZHtrap侦听23个指定端口并识别连接到这些端口的IP地址，然后使用这些IP地址尝试通过利用这四个漏洞并注入有效负载来破坏它们。

一旦僵尸程序接管了设备，它就会通过使用Tor与C2基础架构进行通信来下载并执行其他有效负载，从而从Matryosh僵尸网络中获取提示。

研究人员总结说：“许多僵尸网络都实现了蠕虫状的扫描传播，当访问ZHtrap的蜜罐端口时，其来源很可能是被另一个僵尸网络感染的设备。该设备可以被感染，肯定存在漏洞，我可以使用扫描机制再次进行扫描。这可能是我植入我的机器人样本的好机会，然后借助过程控制功能，我可以完全控制自己，这不是很棒吗？”