新的僵尸网络IOTroop正在快速增长，在过去的一个月里已经感染了100万家企业和机构，其中包括医院，国家运输系统，通讯公司和政治机构，将带来超过Mirai的安全威胁。

9月Check Point的报告称60%的企业网至少有一个脆弱的设备。

IOTroop控制的IP增长趋势

与Mirai类似，恶意软件的目标是有网络连接设备， 如由 D-Link，TP-Link，Avtech，Netgear，MikroTik，Linksys， Synology 和GoAhead 制造的路由器和无线 IP 摄像机。Check Point周四的报告中称：“到目前为止, 我们估计全球范围内已经有超过100万组织受到影响, 而且数量还在不断增加”。

虽然这个恶意软件似乎使用了一些Mirai的代码，这是全新的恶意软件和威胁。该恶意软件利用了更广泛的漏洞，以从美国到澳大利亚更大范围的产品为目标。Check Point的Horowitz担心，IOTroop会如同Mirai，招募一个全球性的网络设备军队，并发动大规模的DDoS攻击。IOTroop与 Mirai不同，它更加复杂，除了弱凭证，还使用了十几个或更多的漏洞来获取这些设备。

例如：针对GoAhead 无线 IP 摄像机，攻击者利用了3月确定的已知的旁路身份验证漏洞 （CVE-2017-8225）， 影响了1250多个相机型号。对于其他设备（如 Linksys RangePlus WRT110 无线路由器）,对手正在利用自2014年以来已知的远程命令执行漏洞。

研究人员已经确定了几个在恶意软件使用的命令和控制服务器（C&C）。每个受感染的设备都有一系列的 IP 地址用于扫描这些漏洞。该恶意软件尽量减少C&C服务器的干预，采用了自“蔓延”策略。然后，将扫描到的易受攻击的设备的 IP送回Ｃ＆Ｃ服务器。

目前该恶意软件的始作俑者还不能够确定，其目的和未来的威胁目标及时间没无法明确。当务之急是做好监测和防范工作。MalwareBenchmark也将开展对此恶意软件的持续跟踪和逆向分析。

文章来源：微信公众号-malwarebenchmark