Hide'N Seek（HNS）僵尸网络最初是在今年1月10日被罗马利亚安全软件厂商比特梵德（Bitdefender）的恶意软件研究人员发现的，随后消失了一段时间。但就在几周之后，它再次出现，并在短短几天之内感染了超过2万台设备。 [出自:jiwo.org]

该僵尸网络最初的感染目标是那些未受到很好保护的物联网设备，主要是家用路由器和IP摄像头，并采用了分散的点对点架构。截至到今年5月份，HNS已经成功感染了超过9万台物联网设备，并开始针对更多的设备类型和架构。

利用多个已知漏洞感染智能家居设备

在今年7月份，来自网络安全设备供应商Fortinet的一份报告指出，HNS僵尸网络已经得到了改进，其目标是利用智能家居设备中的漏洞，如HomeMatic Zentrale CCU2远程代码执行漏洞、Apache CouchDB远程代码执行漏洞以及存在于Belkin NetCam（贝尔金无线摄像头）设备中的远程代码执行漏洞。

HomeMatic是德国制造商eQ-3的智能家居设备供应商，而HomeMatic Zentrale CCU2则是HomeMatic系统的核心，可为所有HomeMatic设备提供广泛的控制、监控和配置选项。这也就意味着，如果HomeMatic Zentrale CCU2被僵尸程序控制，那么受害者失去的可能是对整套智能家居设备的控制权。

目标瞄准开启ADB功能的Android设备

然而，就在同一个月，来自国内安全公司360旗下网络安全研究实验室（Netlab）的安全专家观察到，最新HNS僵尸程序样本的目标发生了明显的改变——旨在感染启用了Android调试桥（Android Debug Bridge，ADB）功能的Android设备，而不再是利用已知漏洞感染物联网设备。

ADB是Android设备中的一项调试功能，旨在为开发人员提供与设备远程通信、执行命令和完全控制设备的能力。由于不需要身份验证，ADB允许任何人连接设备、安装应用程序和执行命令。

Android的开发者门户是这样描述它的——“ADB命令有助于各种设备操作，例如安装和调试应用程序，它提供了对Unix shell的访问，你可以使用它在设备上运行各种命令。”

对于Android系统而言，ADB功能在默认情况下是禁用的。但美国安全研究员Kevin Beaumont进行的一项调查发现，部分制造商生产的Android设备在出厂时就已经开启了该功能。由于ADB接口可以通过TCP端口5555访问，因此这种“默认开启”也就使得任何人都能够通过网络远程连接到设备。

增加通过Wi-Fi感染Android设备的能力

在本周，来自比特梵德的安全研究员Liviu ARSENE在一篇博文中指出，HNS僵尸网络最新增加的一项能力使得它至少能够再感染4万台新设备。从Shodan的搜索结果来看，这些设备主要位于中国台湾、韩国和中国大陆，其次是美国和俄罗斯。

Liviu ARSENE表示，虽然从现有的证据来看，并不能够判定HNS僵尸网络运营商的下一阶段目标，但他们的确一直在为其增加新的能力，这很可能是在为“奴役”尽可能多的设备做准备。

目前可以肯定的是，受影响的绝不仅仅是运行Android系统的智能手机，还包括智能电视、硬盘录像机（DVR），以及几乎所有Wi-Fi网络下开启了ADB功能的Android设备。