许多脚本小子正在运用兵器化的物联网缝隙运用脚本，运用供货商后门帐户进犯中兴路由器。具有挖苦意味的是，这不是脚本中仅有的后门。Scarface，代码的传播者也布置了自定义后门来黑那些运用该脚本的脚本小子。
由于IOT（Paras/Nexus/Wicked）中尖端开发者的姓名不为人所知，Scarface/Faraday便是脚本小子购买物联网僵尸 *** 代码以及兵器化运用的开发者的总称。尽管Scarface大多具有杰出的可信度，但咱们调查到他发布了一个带有后门的兵器化中兴ZXV10 H108L路由器缝隙运用，它在运转时会感染脚本小子的体系。
该缝隙是已知缝隙，在中兴路由器中运用后门帐户进行登录，然后在manager_dev_ping_t.gch中履行指令注入。Scarface的代码针对另一个不同端口8083上的设备（这就解说了咱们的NewSky蜜罐在端口8083而不是规范80/8080端口上看到此缝隙运用量激增）。可是，这不是仅有的差异。

在走漏的代码片段中，咱们看到login_payload用于后门运用，而command_payload用于指令注入。可是，还有一个变量auth_payload，其间包括base64编码的Scarface后门。
这个后门代码是经过exec悄悄履行的，与实践缝隙的三个过程（运用供货商后门、指令注入和刊出）分隔履行，如下图所示：

解码后的后门代码连接到另一个网站，该网站的代码连接到URL paste(.)eee并履行后续代码：


咱们能够看到其添加了一组后门用户凭证，然后经过铲除日志和历史记录来删去痕迹。经过wget连接到另一个URL ，由于它承载了一个meme视频（这可能是Scarface具有你设备的一个指示）。

黑掉IoT僵尸 *** 运营商能够有许多用处。例如，操控脚本小子体系后，大鱼Scarface也能够操控他们构建的较小的僵尸 *** ，或许能够简略的拜访竞赛对手的物联网僵尸 *** 操作人员体系来进行个人竞赛。