Bitdefender的安全研究人员发现一个名为Hide 'N Seek (HNS)的僵尸网络正在扩张，主要针对的是不安全IP摄像头。研究人员发现该僵尸网络是今年1月10日出现的，几天后消失，1月20日这周又强势回归。短短10天时间，该僵尸网络感染了20000个僵尸主机。

与Mirai无关

去年Mirai源码外泄后，发现很多IoT僵尸网络都是Mirai的变种，但是HNS与Mirai无关。高级威胁分析师Bogdan Botezatu认为，HNS与Hajime更加相像。

HNS僵尸网络是目前继Hajime僵尸网络之后第二个使用去中心化、点对点架构的IoT僵尸网络。在Hajime僵尸网络中，P2P功能基于比特流（BitTorrent）协议，而HNS僵尸网络则基于传统的P2P通信机制。

研究人员分析发现，每个僵尸主机含有其他被感染僵尸的IP地址列表，该列表可以随着僵尸网络的增长、僵尸主机的丧失等实时更新。

HNS僵尸的指令和命令是在僵尸主机间互相中继的，这与P2P协议是类似的。HNS僵尸可以接收和执行数据过滤、代码执行和干扰设备的操作等命令。

No DDoS

截至目前，还没有发现HNS僵尸网络有DDoS功能，也就是说僵尸网络目前还是一个代理网络，因为DDoS功能容易引起官方的关注。

HNS僵尸网络利用辞典暴力破解攻击技术来攻击开放的Telnet端口，然后在IoT设备间传播。正如那独特的P2P僵尸管理协议，传播机制也是定制的。

传播机制

该僵尸的特征之一就是类蠕虫的传播机制，可以随机地生成IP地址列表来获取潜在的攻击目标。然后为列表中的每一个主机生成一个socket SYN连接，并与那些在特定端口（23 2323，80，8080）回复请求的主机通信。一旦连接建立，僵尸会在受害者主机上寻找特定的banner(“buildroot login:”)。如果成功获取登录banner，僵尸会尝试以预定义的凭证登录；如果获取失败，僵尸网络会尝试用硬编码的列表来进行词典攻击。

一旦与新的受害者建立会话，样本会以state machine的形式运行，识别目标设备，并选择最合适的攻击方法。比如，如果受害者与僵尸主机在同一局域网中，僵尸主机可以建立TFTP服务器来让受害者从僵尸主机处下载恶意样本。如果受害者位于互联网上，僵尸会尝试远程payload传输方法来使受害者下载和运行恶意软件样本。这些利用技术都是预配置的，而且位于内存位置中，这些内存的位置用数字签名进行保护来预防破坏。该列表可以远程更新并在感染主机中传播。

好消息是与所有的IoT恶意软件一样，HNS不能在受感染设备中持驻留，这意味着恶意软件在设备重启后就会被移除。管理HNS僵尸网络是一个24小时的工作，僵尸网络需要创建者持续的监管来确保僵尸网络能够持续感染新的僵尸。

HNS仍在开发中

HNS仍在开发中，运营者使用新的传播和僵尸管理技术来不断更新僵尸网络。许多新的僵尸网络都有一个趋势，就是出现几周会消失，希望HNS的开发者能够尽快结束她的实验。

截至目前，HNS僵尸网络的主机数量已经达到20k。我们之前从ProxyM僵尸网络中了解到，运行一个盈利的僵尸网络只需要4~5k的僵尸主机，所有20k数量的僵尸网络还是非常庞大的，需要引起关注。