Mirai,因其無人能及的物聯網設備感染能力而聲名狼藉,如今,它有了一個勢均力敵的對手。
根據安全研究人員觀測,一種新出現的惡意程序正在大肆感染防護弱的物聯網設備,其感染能力甚至超越了Mirai。
BackConnect(一家提供反DDoS攻擊服務的廠商)的首席技術官Marshal Webb表示:“它差不多可以看為Mirai的強化版。”
安全研究人員稱這個物聯網惡意軟件新星為Hajime。Hajime已經持續擴散了六個多月,它至今仍在勢頭不減地締造著僵尸網絡。Webb估計全球已有大約十萬臺設備被感染。
這些被控電腦組成的僵尸網絡隱藏著驚人的破壞力。它們通常用于發起規模巨大的DDoS攻擊,從而徹底癱瘓網站甚至破壞網絡基礎設施。
這像極了去年10月Mirai占據頭條的情形。攻擊者通過Mirai建立的僵尸網絡發起了一次針對域名服務商Dyn的DDoS攻擊,從而癱瘓或影響了整個美國的網絡通信。
Hajime問世的時間與Mirai相同,當Rapidity Networks的安全研究人員尋找Mirai的活動跡象時。他們發現了意料之外的東西,它與Mirai類似,但比Mirai更頑強。
與Mirai類似,Hajime會在全網掃描那些安全性較差的物聯網設備,比如攝像機、DVR和路由器。它會運用不同的常見用戶名和密碼的組合來破解設備,然后植入惡意程序。
然而,和Mirai不同,Hajime控制的設備并不會從指令/控制端接受命令。相反,它通過BT通信協議建立了點對點網絡,形成了一個分散的僵尸網絡,因而很難被停止。
Webb說:“Hajime遠比Mirai先進多了,它用了一種更有效的管控手段。”
寬帶服務提供商一直通過阻斷網絡與指令/控制(C&C)端的通信來對抗Mirai僵尸網絡。而這時,由相同設備組成的Hajime僵尸網絡的規模增漲到了24/7倍。其點對點通信特性意味著很多被感染的設備可以傳輸文件或命令其他僵尸網絡,使Hajime面對種種抵抗措施表現得更具彈性。
藍色線代表Hajime的感染嘗試,紅色線代表Mirai的感染嘗試
誰是Hajime的幕后操縱者?安全研究人員尚不能下定論。令人驚訝的是,研究人員至今未呢能觀測到Hajime僵尸網絡發動任何DDoS攻擊,這真是不幸中的萬幸。Hajime僵尸網絡完全有能力制造一場與Mirai相媲美的災難。
安全廠商Radware的研究員Pascal Geenens表示:“至今沒有任何攻擊與此有關,我們沒收到相關報告。”
然而毫無爭議的是,Hajime仍步步為營地擴散自己的感染范圍。Geenens設置了用于監測僵尸網絡活動的蜜罐,監測到了漫天遍地的被Hajime感染的設備入侵的企圖。
所以這個僵尸網絡的最終目的仍然是個謎。但是它能力范圍內的用途包括以勒索為目的發起DDoS攻擊或從事金融詐騙。
Hijame的威脅如同一塊黑云。說不準哪天,它就會被用于危險用途。
當然,也有可能Hajime只是一個研究項目。甚至可能和所有人預想的相反,這是某個安全專家用于一個抗衡Mirai的工具。
保加利亞的國家計算機病毒實驗室的安全專家Vesselin Bontchev指出,到目前為止,Hajime似乎比Mirai擴散得更廣泛。
然而,這兩個惡意軟件之間還有一個明顯區別。據觀察,Hajime對ARM芯片架構的物聯網設備感染較少。
不妨與Mirai做個對比。Mirai的源代碼于9月下旬公開,此后就受到各種黑客追捧,代碼的更新升級層出不窮。Vesselin的調查顯示,Mirai能感染基于感染基于ARM、MIPS、x86和其他六個平臺的物聯網設備。
這意味著兩個惡意軟件的狩獵領地并不是完全重疊的。然而,Hajime確實扼制了Mirai的一些擴張行為。
Flashpoint安全研究主管Allison Nixon指出:“Mirai和Hajime之間絕對會有一場漫長的領土戰爭”。
要想阻止惡意軟件,安全研究人員認為最好能解決這一問題的根源,即修補脆弱的物聯網設備。但是,即便從最樂觀的角度看,這都需要大量時間,而這一目標有時就像是個不可能實現的任務。
Nixon說,確實有一些物聯網供應商會為產品發布安全補丁以防止惡意軟件感染,但許多廠商對此無動于衷。
這意味著Hajime和Mirai可能會肆虐很長一段時間,直到這些安全性弱的設備都超過年限被淘汰的那一天。
Nixon表示:“這種狀況將持續下去。即使切斷設備的電源,惡意軟件仍然會卷土重來,再次感染設備。惡意軟件的入侵永遠不會停止。”
京公網安備 11010502049343號