我所在的公司的網絡囊括物聯網(IoT)設備。我聽說BrickerBot能夠在發動拒絕服務攻擊后永久性地損壞一些IoT設備。那么,企業可以采取什么措施來抵御BrickerBot?
Judith Myerson:像Mirai、Hajime和其他IoT惡意軟件一樣,BrickerBot使用已知的默認出廠憑證列表來訪問可能運行BusyBox的基于Linux的IoT設備,這是一個用于Linux的Unix實用程序的免費工具集。如果設備所有者忘記更改默認憑據,BrickerBot將登錄并對受感染的IoT設備執行破壞性攻擊。
Radware的應急響應小組在惡意軟件開始掃描Radware蜜罐時發現了BrickerBot。其團隊成員發現惡意軟件與Mirai類似,但有所區別。BrickerBot并沒有像Mirai那樣主動掃描互聯網的新受害者。相反,它會查找已被感染的設備。該惡意軟件的目標是永久禁用受Mirai感染的IoT設備,因此設備并不能作為僵尸網絡的一部分使用。
BrickerBot偵聽開放端口23(telnet)和端口7457,用于受其他IoT惡意軟件感染的IoT設備的掃描。 Telnet端口暴露了出廠默認用戶名和密碼。這些端口使BrickerBot能夠對受感染的設備啟動永久性的拒絕服務攻擊。該惡意軟件使用一系列Linux命令來破壞存儲,其次是用命令破壞互聯網連接。
且其禁止管理員使用端口發送修補程序。受影響設備的端口被阻塞,并且恢復出廠設置也不能恢復損壞的設備。重新啟動也無法恢復設備。所以設備變得毫無用處,需要更換并重新安裝。
BrickerBot的四個版本彼此獨立運行,無需命令和控制服務器。每個版本中的命令序列在執行其破壞行為時略有不同。
防御BrickerBot的最佳方法是更改默認憑據并禁用Telnet端口。企業還應將損壞的設備進行脫機操作,更換或重新安裝硬件,使用最新固件更新設備,并備份文件以在新硬件上進行恢復。
京公網安備 11010502049343號