ESET安全公司的研究人员发现一款恶意软件，以物联网设备如路由器、网关和无线接入点等为攻击目标。

“Bot后门”与“扫描器”的杂交

该恶意程序被称为KTN-Remastered 或 KTN-RM，是Tsunami (或 Kaiten)以及 Gafgyt的结合。Tsunami是众所周知的IRC（互联网中继聊天）Bot后门，被恶意攻击者用于发起DDOS攻击，而Gafgyt用于远程登录扫描。

KTN-RM，研究人员也称其为“Remaiten”，通过下载可执行的恶意二进制文件，感染嵌入式平台和其他连接设备。

ESET公司在官方微博上发布的文章中这样说道：

“最近，我们发现了一个结合了Tsunami（也称为Kaiten）和Gafgyt的功能的恶意软件，此外，它还具备一些改进和新增功能。我们把这种新的威胁称之为Linux / Remaiten。到目前为止，我们已经发现Linux / Remaiten的三个版本，版本2.0，2.1和2.2。根据代码显示结果，发现者将这种新的恶意软件称之为“KTN-Remastered” 或是 “KTN-RM”。”

Linux恶意软件是如何运行的？

该恶意软件首先进行远程登录扫描，寻找路由器和智能设备。一旦连接成功，恶意软件将对登录凭据进行猜测，试图掌控一些存在弱口令的设备。

如果成功登录，恶意软件会发出一个shell命令给下载机器人，下载针对多种系统架构的恶意二进制文件，随后将其运行在受损系统上。

ESET的安全研究人员还发现，这些二进制文件包括C＆C服务器的IP地址硬编码列表，机器人还将受感染的设备信息（即IP地址、登录凭据、感染状态）发送至控制服务器上。

“当指令执行远程登录扫描，它会尝试连接23端口的随机IP地址。如果连接成功，它会尝试从用户名/密码组合的嵌入列表中猜测登录凭据。如果成功登录，它会发出一个shell命令给下载机器人，下载针对多种架构的恶意二进制文件，并试图运行它们。这是一个尽管看起来略显繁琐却很简单的感染新的设备的方式，因为很可能就存在一个二进制文件可以在运行程序中执行。”

来自：FreeBuf黑客与极客（FreeBuf.COM）