哈吉姆的“私刑僵尸网络”发展迅速；劫持全球30万台物联网设备

上周，我们报道了一名所谓的“私刑黑客”，他使用僵尸网络恶意软件侵入了至少10000个易受攻击的“物联网”设备，如家庭路由器和联网摄像头，以确保其安全。

哈吉姆根据卡巴斯基实验室周二发布的一份新报告，这个数字将随着时间的推移而增加。

IoT僵尸网络恶意软件出现于2016年10月，大约在同一时间，去年臭名昭著的Mirai僵尸网络通过针对流行DNS提供商Dyn的创纪录分布式拒绝服务（DDoS）攻击威胁互联网。

Hajime物联网僵尸网络的工作原理

Hajime僵尸网络的工作原理与Mirai非常相似，它通过不安全的物联网设备进行传播，这些设备具有开放的Telnet端口，使用默认密码，还使用Mirai编程使用的相同用户名和密码组合列表。

然而，Hajime僵尸网络有趣的一点是，与Mirai不同，一旦Hajime感染了物联网设备，它就会通过阻止对四个端口（237547、5555和5358）的访问来保护设备，这四个端口是已知的感染物联网设备最广泛使用的载体，使Mirai或其他威胁远离它们的海湾。

Hajime还使用分散的对等网络（而不是命令和控制服务器）向受感染的设备发布更新，这使得ISP和互联网提供商更难关闭僵尸网络。

关于Hajime最有趣的事情之一是，僵尸网络还每隔10分钟左右在受感染的设备终端上显示一条加密签名的消息，描述其创建者是"只是一顶白帽子，保护一些系统."

与Mirai和其他物联网僵尸网络不同，Hajime缺乏DDoS能力和其他黑客技能，除了传播代码，该代码允许一个受感染的物联网设备搜索其他易受攻击的设备并感染它们。

But What if…?

不知道的是：哈吉姆僵尸网络的用途是什么？或者是谁在幕后操纵？

卡巴斯基安全研究人员说：“哈吉姆最有趣的事情是它的目的。”。“虽然僵尸网络越来越大，部分原因是新的攻击模块，但其用途仍然未知。我们还没有看到它被用于任何类型的攻击或恶意活动，并补充说，“其真正用途仍然未知。”。"

此外，研究人员认为这种情况可能不会发生，因为Hajime僵尸网络会采取措施将其运行的进程和文件隐藏在文件系统中，这使得检测受感染的系统变得更加困难。

到目前为止，构建这个僵尸网络的目的还不完全清楚，但所有迹象都表明可能有一名白帽黑客，他/她正在执行保护互联网上开放和易受攻击系统的任务。

However, the most concerning issue of all —有没有任何保证，哈吉姆的作者不会向蠕虫添加攻击能力，以将被劫持的设备用于恶意目的？

也许今天，哈吉姆作家的使命是保护世界，但明天，当他意识到自己可以通过将僵尸网络出租给他人在网上赚钱时，他可能是另一个亚当·穆德。

Mudd是一名19岁的青少年，最近因创建和运行DDoS for hire服务，被判处2年监禁钛压力计“自2013年以来，这使170多万人成为DDoS攻击的受害者。

其次如果善意的僵尸网络被某个恶意参与者劫持了怎么办？

如果发生这种情况，警惕的物联网僵尸网络可能会被用于恶意目的，例如对在线网站和服务进行DDoS攻击、传播恶意软件，或者一次点击就立即封锁受感染的设备。

Radware研究人员还认为，Hajime僵尸网络的灵活性和可扩展性可用于恶意目的，如上文所述，并通过互联网连接的网络摄像头进行实时大规模监视，根据Radware周三发布的新威胁咨询。

最后但并非最不重要：我们真的需要一些警惕的黑客来保护我们的设备和网络吗？

这个解决方案可能是暂时的，相信我。例如，最新的哈吉姆僵尸网络只不过是一个创可贴而已。

由于Hajime没有持久性机制，一旦被感染的设备重新启动，它就会回到以前不安全的状态，默认密码和Telnet端口向世界开放。

如何保护您的物联网设备？

唯一真正的解决办法是你—；你可以用Hajime或任何善意的僵尸网络无法做到的方式保护你的物联网设备，而不是坐在那里无所事事，等待一些私刑黑客创造奇迹。

所以，去更新你设备的固件，更改它们的默认密码，把它们放在防火墙后面，如果任何设备在默认情况下易受攻击，无法更新，扔掉它，买一个新的。

请记住：一旦你的一个物联网遭到破坏，你的整个网络就会面临被破坏的风险，因此你所有连接到该网络的设备都会受到破坏。