物聯(lián)網(wǎng)僵尸(IoT zombies)來(lái)了。它們數(shù)量眾多,我們短期內(nèi)無(wú)法將其全部消滅!
它們很可能會(huì)危及設(shè)備安全。現(xiàn)在就該采取措施,確保設(shè)備免受感染!
繼我們之前深入探討了最近發(fā)生的大規(guī)模DDoS(Distributed Denial of Service,分散式阻斷服務(wù))攻擊事件。在這些攻擊事件中,物聯(lián)網(wǎng)設(shè)備被當(dāng)成了機(jī)器人或是僵尸。該文章發(fā)布后不久,一個(gè)自稱(chēng)是該惡意軟體作者的人士公布了攻擊軟體的原始程式碼-這款名為Mirai的惡意軟體是一種木馬病毒,在感染了物聯(lián)網(wǎng)設(shè)備后,向多家知名網(wǎng)站發(fā)起了DDoS攻擊,受害的設(shè)備數(shù)量驚人;Malware Tech估計(jì)有12萬(wàn)臺(tái)設(shè)備受到感染,而Level 3則稱(chēng)有150萬(wàn)臺(tái)設(shè)備受到感染。然而,這起攻擊事件只是最新的一例。
這些病毒是永久性的。
在思考如何應(yīng)對(duì)攻擊時(shí),若借用醫(yī)學(xué)上的病毒學(xué)原理將能對(duì)Mirai的傳播方式有更進(jìn)一步的了解。醫(yī)學(xué)上的感染分析方法是采用曲線圖來(lái)表現(xiàn)易感染、感染、修復(fù)三者的關(guān)系;這一方法同樣適用于我們現(xiàn)在面臨的問(wèn)題:
圖二
設(shè)備一旦感染了Mirai,就會(huì)利用預(yù)設(shè)驗(yàn)證資訊 (default credentials) 在網(wǎng)路上隨機(jī)尋找?guī)в虚_(kāi)放Telnet埠的設(shè)備。一旦找到這樣的設(shè)備,就將木馬病毒植入其中,使其變成僵尸后去感染更多的目標(biāo)。這個(gè)過(guò)程如上圖曲線的第一段。
有些設(shè)備可以被修復(fù)或者受到了保護(hù),但很多都不能,于是被永久的感染。
即使是被修復(fù)了的設(shè)備,也不能避免被其他感染了病毒的設(shè)備再次攻擊;由于許多設(shè)備已被永久感染,襲擊將隨時(shí)卷土重來(lái)。
我們可以殺死Mirai病毒嗎?
有些方法可以殺死Mirai病毒,或者至少能降低它的影響力。
修復(fù)所有設(shè)備(Fix all the devices)
就實(shí)務(wù)上來(lái)說(shuō),是不可能的。大部分設(shè)備擁有者不知道他們的設(shè)備已被感染,也不具備修復(fù)設(shè)備的能力,甚至因?yàn)闆](méi)有受到直接的影響,因此沒(méi)有意愿修復(fù)設(shè)備。
封殺控制-指令伺服器(Kill the command-and-control server)
Mirai的弱點(diǎn)之一是新感染的設(shè)備需要向指令-控制伺服器注冊(cè)后方可下載指令。這些是散播病毒的伺服器,而非可能的受感染設(shè)備。如果控制-指令伺服器被封殺,將會(huì)限制Mirai病毒的擴(kuò)散。
保護(hù)目標(biāo) (Protect the target)
為了正面迎戰(zhàn)近日發(fā)生的物聯(lián)網(wǎng)DDoS攻擊,安全網(wǎng)站krebsonsecurity.com被迫更換了托管公司。DDoS攻擊并非是新鮮事,防御辦法是有的,但像這類(lèi)的轉(zhuǎn)移也是行之有效的應(yīng)對(duì)措施之一。但若想要修復(fù)目前所有被感染或者潛在會(huì)被感染的設(shè)備并不實(shí)際,況且我們也做不到能徹底清除感染。
前景展望
即便不是Mirai,也會(huì)有其他自我繁殖的惡意軟體會(huì)被開(kāi)發(fā)出來(lái)進(jìn)而感染其它物聯(lián)網(wǎng)設(shè)備。Mirai原始程式碼的公開(kāi)將加速后續(xù)病毒的開(kāi)發(fā)。可以預(yù)見(jiàn),未來(lái)的攻擊手段將會(huì)取消對(duì)指令和控制伺服器的依賴(lài),從而使殺死病毒的任務(wù)更加艱巨。
目前,Mirai主要進(jìn)行DDoS攻擊。但在未來(lái),將把物聯(lián)網(wǎng)設(shè)備作為僵尸物聯(lián)網(wǎng)設(shè)備,攻擊同一網(wǎng)路上的其它系統(tǒng)。
設(shè)備免疫
物聯(lián)網(wǎng)僵尸在可預(yù)見(jiàn)的未來(lái)都會(huì)存在。我們可以避免甚至隔離物聯(lián)網(wǎng)僵尸,但隨著網(wǎng)路的變更以及新設(shè)備的發(fā)展,新的病毒感染途徑也會(huì)隨之出現(xiàn);由于感染的風(fēng)險(xiǎn)持續(xù)存在,設(shè)備成為感染目標(biāo)只是時(shí)間的問(wèn)題。因此,對(duì)設(shè)備進(jìn)行免疫,使其避免遭受感染至關(guān)重要。
免疫的第一步首先是消除已知的感染方式。消除或者阻斷不必要的服務(wù)(如Telnet),消除預(yù)設(shè)驗(yàn)證資訊 ,以安全密碼取代,阻斷與外部端點(diǎn)的意外連結(jié)。
但從長(zhǎng)遠(yuǎn)來(lái)看,還需采取進(jìn)一步措施防止可被適應(yīng)型病毒的出現(xiàn)。這就是CWE/SANS Top 25 Most Dangerous Software Errors等工具軟體的應(yīng)用,同時(shí)也是Wind River能夠著力之處。
Wind River提供以下多層次、預(yù)先整合的防護(hù)措施:
- 安全啟動(dòng)和初始化,防范受影響的可執(zhí)行代碼
- 靜態(tài)資料加密,保護(hù)敏感資訊
- 雙向驗(yàn)證,阻止不法終端及惡意嘗試連接
- 通信加密,保護(hù)敏感資訊
- 作業(yè)系統(tǒng)增強(qiáng),防止許可權(quán)升級(jí)
- 防火墻阻斷非預(yù)期的外部連結(jié)
- 安全更新修改需經(jīng)授權(quán),防止惡意修改
Wind River的可訂制系統(tǒng)產(chǎn)品整合了這些防護(hù)措施,使無(wú)關(guān)的服務(wù)被排除在設(shè)備之外。最大程度地減少了病毒感染的途徑,使設(shè)備具有強(qiáng)大的防御功能。
此外,Wind River的專(zhuān)業(yè)服務(wù)團(tuán)隊(duì)能夠從建立和部署安全證書(shū)的工具和流程,到優(yōu)化硬體安全功能,以及安全風(fēng)險(xiǎn)評(píng)估和安全測(cè)試等方面,對(duì)產(chǎn)品進(jìn)行評(píng)估,幫您訂制適合的產(chǎn)品。
永絕后路
物聯(lián)網(wǎng)僵尸會(huì)入侵您的設(shè)備、與設(shè)備互相連結(jié)并尋找繼續(xù)感染其他設(shè)備的途徑。保護(hù)設(shè)備的方法有很多種,然而預(yù)先整合的解決方案不僅能夠使設(shè)備免受當(dāng)前的病毒感染,并且能夠阻止將來(lái)變種病毒的侵襲!這種方法就是免疫—將使你的設(shè)備長(zhǎng)保健康。
京公網(wǎng)安備 11010502049343號(hào)