雷鋒網 (公眾號：雷鋒網) 消息，想要成為一名黑客？但你最好小心一些免費的黑客工具，因為其中不少都是騙局。 最近，安全專家報告了幾起假冒黑客工具隱藏后門的案例，其中就有一個虛假的 Facebook 黑客工具和Cobian RAT。

近日，安全專家 Ankit Anubhav 又發現了新黑客工具，它已經在數個地下黑客論壇上部署了后門程序。這個黑客工具是一個免費的 PHP 腳本，允許用戶掃描互聯網上一些比較容易受到攻擊的 IP 攝像頭，這些攝像頭程序基本基于 GoAhead 開源嵌入式 Web Server 運行。（注：GoAhead是一個開源、簡單、輕巧、功能強大、可以在多個平臺運行的嵌入式 Web Server。GoAhead Web Server是為嵌入式實時操作系統量身定制的 Web 服務器。）

Ankit Anubhav 在一篇博文寫道：

“針對使用嵌入式 GoAhead 服務器物聯網設備的黑客市場似乎非?；馃?，這是因為大量 IP 攝像頭可以被黑客利用 CVE-2017–8225 這樣的漏洞輕松入侵，而且這種黑客手段已經被 IoTroop/Reaper僵尸網絡成功采用了。”

“2017年10月22日，我們觀察到一個經常托管物聯網僵尸網絡腳本的暗網，他們提供了一段新腳本代碼，并標記為 NEW IPCAM EXPLOIT。這個腳本可幫助黑客找到一些容易受到攻擊的、使用嵌入式 GoAhead 服務器的物聯網設備，讓黑客工作更輕松。”

可是，安全專家分析了這個“NEW IPCAM EXPLOIT”代碼腳本，發現竟包含了攻擊黑客的惡意代碼，這意味著，如果這個工具被部署在某個僵尸網絡，那么該腳本背后的黑客就能使用工具來接管它。

經過全方位解碼后，安全專家們發現，“NEW IPCAM EXPLOIT ”惡意腳本會通過檢查所有“GoAhead-Webs”標記，掃描 GoAhead 嵌入式服務器上的全網設備。但在腳本底部有一個后門程序，它會使用一個 shell 腳本連接到一個“惡意服務器”，然后下載一個二級腳本，再執行該腳本。

這個“ NEW IPCAM EXPLOIT ”物聯網掃描腳本按照以下四個步驟操作:

1、該黑客腳本會掃描一組 IP 地址，查詢到一些比較容易追蹤的 GoAhead 服務器，這些服務器通常都可以通過 CVE-2017–8225 這樣的漏洞繞過身份驗證。利用這些漏洞，“ NEW IPCAM EXPLOIT ”腳本會侵入到Wireless IP Camera (P2P) WIFI CAM 設備中。

2、接下來，“ NEW IPCAM EXPLOIT ”腳本會創建一個用戶賬號（用戶名：VM|密碼：Meme123），之后會在網絡犯罪者的系統上建立一個秘密后門，然后獲得被侵入系統相同的特權。

3、第三步，“NEW IPCAM EXPLOIT”黑客腳本會確定網絡犯罪者系統的 IP 地址，以便遠程訪問受到惡意軟件感染的系統。

4、“ NEW IPCAM EXPLOIT ”黑客腳本會在被感染者的系統上運行一個二級負載，而在某些特定情況下，該腳本還會安裝 Kaiten 惡意軟件。

雷鋒網了解到，外媒 BleepingCompuer 的安全專家對該惡意軟件又進行了深入研究，發現這款黑客軟件的開發者已經將其作為一款黑客工具，發布上傳到了互聯網上。

據 BleepingComputer 網站的一篇報道稱：

“通過深入挖掘這款后門程序開發者曾經使用過的一些 ID，我們發現這不是他第一次發布類似的后門惡意軟件，他此前也曾和其他一些黑客交過手，因為 Anubhav 在追蹤這名黑客的時候發現了一個文檔，其中羅列了不少其他黑客的名字。”

雷鋒網翻譯自? securityaffairs

。