在近期關于物聯網設備控制權的“爭奪賽”中,Hajime蠕蟲軟件和Marai僵尸網絡各有千秋,不過相比之下,Hajime更為隱秘,或蓋Marai風頭。
去年10月,來自安全公司賽門鐵克的安全研究人員首次發現Hajime蠕蟲。該蠕蟲同樣利用未采取保護措施的設備(遠程登錄端口處于打開狀態并使用默認密碼)進行傳播。事實上,Hajime所使用的用戶名及密碼組合與Mirai完全相同,且僅比Mirai多兩組。
與Mirai在命令和控制(C&C)服務器使用硬編碼地址不同,Hajime建立在一個點對點網絡之上。該網絡中不存在C&C服務器地址,而是通過控制器,將命令模塊推至點對點網絡,然后將消息傳播至所有點對點中,這導致此類網絡的設計更加堅固,將其摧毀的難度也隨之增加。
與Mirai相比,Hajime的行動更為隱秘,技術也更為先進。一旦感染設備,該蠕蟲便會采取多個步驟,掩蓋其運行的進程,并將相關文件隱藏于文件系統之中。蠕蟲制造者可隨時在網絡中的任意受感染設備打開Shell腳本。由于該蠕蟲使用了模塊化代碼,因此設計者可隨時添加新的功能。從Hajime的代碼可明顯看出,設計者對該蠕蟲病毒進行深入的開發與設計。
如何應對新的威脅?
在過去幾個月中,Hajime的傳播速度迅速。全球受到感染的設備數量已達到數萬臺,中國也是受到感染的市場之一。因此物聯網設備用戶對此應高度重視,并及時采取措施。
企業在購買物聯網設備前,應事先了解設備性能與安全功能、對網絡中所使用的物聯網設備執行審核。更改設備上的默認信息,在設備賬戶和Wi-Fi網絡中使用唯一的強密碼、在設置Wi-Fi保護接入(WPA)時,使用強加密方法。禁用不必要的功能和服務、禁用Telnet登錄并盡量使用SSH、禁用路由器的通用即插即用 (UPnP)功能。
企業應依據自身的要求與安全策略,修改物聯網設備的默認隱私和安全設置。非必要時,禁用或保護對物聯網設備的遠程訪問、盡可能使用有線連接代替無線連接。此外,應定期登錄設備制造商網站,了解固件升級情況,并確保設備不會因硬件故障而處于危險狀態。
京公網安備 11010502049343號