對(duì)受感染系統(tǒng)的數(shù)據(jù)進(jìn)行擦除的物聯(lián)網(wǎng)設(shè)備開(kāi)始受到惡意軟件的攻擊。

黑客已經(jīng)開(kāi)始為惡意軟件添加數(shù)據(jù)擦除例程，旨在感染互聯(lián)網(wǎng)和其他嵌入式設(shè)備。最近發(fā)現(xiàn)的一些攻擊顯示出這種行為正在逐漸增多，但黑客可能會(huì)出于不同的目的。

來(lái)自Palo Alto Networks的研究人員通過(guò)一年的漏洞感染數(shù)字錄像機(jī)，發(fā)現(xiàn)一個(gè)新的惡意軟件程序被稱為“健忘癥”。“健忘癥”是一種被稱為“海嘯”的老式IoT僵尸網(wǎng)絡(luò)客戶端的變體，但有趣的是它試圖檢測(cè)能否在虛擬化環(huán)境中運(yùn)行。

▲Credit: Gerd Altmann / Pixabay

惡意軟件會(huì)執(zhí)行一些檢查，以確定其運(yùn)行的Linux環(huán)境實(shí)際上是基于VirtualBox、VMware或QEMU的虛擬機(jī)。安全研究人員使用這種環(huán)境來(lái)構(gòu)建分析沙箱或蜜罐(Honeypot)。

虛擬機(jī)檢測(cè)已存在Windows惡意軟件程序多年，但這是第一次在基于Linux的嵌入式設(shè)備構(gòu)建的惡意軟件中觀察到此功能。如果“健忘癥”檢測(cè)到虛擬機(jī)的存在，它將嘗試使用Linux“rm -rf”shell命令從文件系統(tǒng)中擦除關(guān)鍵目錄，以摧毀他們可能收集的任何證據(jù)。

同時(shí)，來(lái)自安全服務(wù)提供商Radware的研究人員發(fā)現(xiàn)了一種針對(duì)IoT設(shè)備的不同惡意軟件攻擊，他們稱其為BrickerBot。這種攻擊是從其他基于Linux的嵌入式設(shè)備的受損路由器和無(wú)線接入點(diǎn)啟動(dòng)的。

惡意軟件嘗試通過(guò)Telnet服務(wù)運(yùn)行，并通過(guò)已經(jīng)暴露在互聯(lián)網(wǎng)設(shè)備上的常用用戶名和密碼組合來(lái)進(jìn)行身份驗(yàn)證。如果這一行為成功了，它將啟動(dòng)一系列破壞性命令，用于覆蓋設(shè)備安裝分區(qū)中的數(shù)據(jù);它也會(huì)嘗試斷掉互聯(lián)網(wǎng)連接并使設(shè)備無(wú)法使用。

雖然一些設(shè)備可能會(huì)因?yàn)楣舳靡陨妫驗(yàn)樗鼈兪褂弥蛔x分區(qū)，但許多設(shè)備將不會(huì)，也將需要固件刷新。此外，任何配置都可能會(huì)丟失，并且在具有USB端口或網(wǎng)絡(luò)連接存儲(chǔ)設(shè)備的路由器的情況下，外部硬盤驅(qū)動(dòng)器的數(shù)據(jù)也可能被擦除。

實(shí)際上，其中一個(gè)BrickerBot攻擊變體甚至不只局限于嵌入式設(shè)備和IoT設(shè)備，它還可以在任何基于Linux的系統(tǒng)上工作，如果它具有“弱”或“默認(rèn)”的憑據(jù)，就可以通過(guò)Telnet訪問(wèn)。

目前還不清楚BrickerBot攻擊背后的目標(biāo)是什么。惡意軟件的創(chuàng)建者可能是想要在互聯(lián)網(wǎng)上禁用易受攻擊的設(shè)備的人，以便不能被其他黑客感染和濫用。

去年發(fā)生的一些較大的分布式拒絕服務(wù)(DDoS)攻擊源于被入侵的物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)，所以其意圖是強(qiáng)制用戶采取行動(dòng)并修復(fù)或替換其易受攻擊的設(shè)備。

大多數(shù)用戶不太可能知道他們的路由器、IP攝像機(jī)或網(wǎng)絡(luò)連接的存儲(chǔ)系統(tǒng)是否被惡意軟件感染，并被用于DDoS攻擊，因?yàn)檫@些攻擊對(duì)其性能的影響可能不明顯。但是，如果他們被BrickerBot攻擊，他們會(huì)立即察覺(jué)到不對(duì)經(jīng)，因?yàn)樗麄兊脑O(shè)備將停止工作，其中很多可能需要手動(dòng)干預(yù)才能解決。

Amnesia bot是一個(gè)非常好的例子，這個(gè)例子說(shuō)明了嵌入式設(shè)備中的漏洞沒(méi)有進(jìn)行自動(dòng)修補(bǔ)并暴露在互聯(lián)網(wǎng)上，而設(shè)備最終受到了攻擊。在一年多前，惡意軟件攻擊影響了70多個(gè)品牌的數(shù)字錄像機(jī)(DVR)，即錄制來(lái)自閉路電視攝像機(jī)視頻流的系統(tǒng)。DVR型號(hào)受到影響的原因在于，不同品牌銷售的公司實(shí)際上是來(lái)自中國(guó)的一家名為深圳TVT數(shù)字技術(shù)公司的原始設(shè)備制造商(OEM)的硬件和固件。

這種所謂的“白色標(biāo)簽”做法對(duì)于許多IoT設(shè)備(包括IP攝像機(jī)和路由器)來(lái)說(shuō)是常見(jiàn)的，并且它使受影響的設(shè)備上安裝安全補(bǔ)丁變得非常困難。這也是許多這樣的設(shè)備沒(méi)有自動(dòng)更新的原因之一。

目前，根據(jù)Palo Alto Networks的統(tǒng)計(jì)，全球有超過(guò)227000臺(tái)DVR存在這種漏洞，并直接暴露在互聯(lián)網(wǎng)上。其中最多的是中國(guó)臺(tái)灣、美國(guó)、以色列、土耳其和印度。

在購(gòu)買相機(jī)、路由器、NAS系統(tǒng)或其他IoT設(shè)備時(shí)，用戶應(yīng)該查看制造商的安全記錄：該公司是否有專門的安全問(wèn)題聯(lián)絡(luò)點(diǎn)?過(guò)去它是如何處理產(chǎn)品漏洞的? 它是否發(fā)布過(guò)安全咨詢?它會(huì)定期發(fā)布安全補(bǔ)丁嗎?產(chǎn)品有自動(dòng)更新功能嗎?

除了價(jià)格本身，這些問(wèn)題的答案應(yīng)該是購(gòu)買設(shè)備時(shí)應(yīng)該考慮的一大元素，因?yàn)樗械能浖紩?huì)有缺陷，在便宜和昂貴的設(shè)備中都能找到安全漏洞。