近期,一場爭奪物聯網設備控制權的“戰爭”正在激烈進行中,盡管參與者眾多,但只有2大家族“脫穎而出”:Mirai的剩余僵尸網絡,以及名為“Hajime”的新型蠕蟲家族。
去年10月,安全研究人員首次發現Hajime蠕蟲。與Mirai(Linux.Gafgyt)相似,該蠕蟲同樣利用未采取保護措施的設備(遠程登錄端口處于打開狀態并使用默認密碼)進行傳播。事實上,Hajime所使用的用戶名及密碼組合與Mirai完全相同,且僅比Mirai多兩組。
與Mirai在命令和控制(C&C)服務器使用硬編碼地址不同,Hajime建立在一個點對點網絡之上。該網絡中不存在C&C服務器地址,而是通過控制器,將命令模塊推至點對點網絡,然后將消息傳播至所有點對點中,這導致此類網絡的設計更加堅固,將其摧毀的難度也隨之增加。
與Mirai相比,Hajime的行動更為隱秘,技術也更為先進。一旦感染設備,該蠕蟲便會采取多個步驟,掩蓋其運行的進程,并將相關文件隱藏于文件系統之中。蠕蟲制造者可隨時在網絡中的任意受感染設備打開Shell腳本。由于該蠕蟲使用了模塊化代碼,因此設計者可隨時添加新的功能。從Hajime的代碼可明顯看出,設計者對該蠕蟲病毒進行深入的開發與設計。
在過去幾個月中,Hajime的傳播速度迅速。賽門鐵克通過對全球范圍內的感染設備進行跟蹤,發現受感染的主要國家為巴西和伊朗。盡管現在難以預計該點對點網絡的規模,但賽門鐵克保守估計,全球受到感染的設備數量已達到數萬臺,中國也是受到感染的市場之一。
十大主要感染Hajime蠕蟲的國家和地區
背后的原因
賽門鐵克發現,Hajime與其他蠕蟲病毒相比,明顯缺少了部分功能 ——目前,Hajime只有傳播模塊,不含有任何分布式拒絕服務(DDoS)功能與攻擊代碼。但該蠕蟲會從自身控制器中獲取一份聲明,并每隔10分鐘推送展示在設備終端上。消息內容為:
“我們是保護系統的白帽子。我們將通過此方法顯示重要信息!Hajime制作者。聯系關閉。請保持警惕!”
上述消息以加密方式進行顯示,同時,該蠕蟲僅接受通過硬編碼密鑰所顯示的消息。因此幾乎可以肯定,上述文字來自該蠕蟲的真正制作者。然而,由于制作者在系統中安裝了后門程序,因此制作者是否為白帽子,或其目的是否僅為保護系統免受攻擊的真實性仍存疑問。Hajime的模塊化設計也表明 —— 一旦制作者改變心意,便可將受感染設備轉變為一個巨大的僵尸網絡。
值得提出的是,Hajime蠕蟲確實能夠改善所感染設備的安全性。該蠕蟲可阻擋外界對端口23、7547、5555和5358的訪問,物聯網設備正是依賴這些端口為其提供托管服務。Mirai 便是利用上述部分端口作為目標,感染設備。
根據位置分布顯示所發現的Hajime感染量
白色蠕蟲
這并非首次出現所謂正義者試圖保護脆弱的物聯網設備的事件。2014至2015年,賽門鐵克曾發現惡意軟件Linux.Wifatch。該軟件由“白色團隊(The White Team)”所編寫,與Hajime的目的相似,試圖為物聯網設備提供安全保護。此外,Brickerbot也曾以類似方式,通過刪除關鍵系統文件或破壞系統,從而使物聯網設備處于離線狀態,為設備提供保護。
但通常來說,由于白色蠕蟲的生命周期較短,因此防護效果只是暫時性。在受到蠕蟲感染的一般性物聯網系統中,為改善安全性所做出的改變只出現在RAM中,且并不持久。
一旦設備重啟,所采用的仍是默認密碼,同時由于遠程登錄處于開啟狀態,設備便會再次處于無保護狀態。對相關固件進行升級才能夠持續保護設備。但由于不同設備的升級過程各有不同,有時用戶需要對設備進行物理訪問才能對其加以升級,因此,大規模的固件升級十分難以實現。因此,嵌入式設備便陷入了電影《土撥鼠之日》中時間無限循壞的情節 —— 某天,設備也許處于Mirai 僵尸網絡中,而在重啟后,則可能感染Hajime。這樣日復一日,總會有更多物聯網惡意軟件/蠕蟲,不斷尋找使用硬代碼密碼的設備,并試圖進行感染。這個循環將在設備每次重啟后繼續,直到設備固件升級或安全性增加。
安全研究人員成為蠕蟲的“質量管理者”
還有一點值得注意,在所顯示的信息中,開發者將自己稱為“Hajime 制作者”,但Hajime這個名稱并未出現在其二進制代碼之中。事實上,“Hajime” 這個名稱并非蠕蟲制作者所起,而是由發現該蠕蟲及它與Mirai僵尸網絡相似處的安全研究人員所命名。研究人員希望保留日語名稱中的意義(Mirai 在日語中代表“未來”,Hajime代表“開始”)。這說明該蠕蟲的制作者已注意到研究人員的相關報告,并似乎對這個名字十分滿意。
此外,研究人員的報告中還發現了蠕蟲中的漏洞,并提供了檢測這些漏洞的簽名。而該蠕蟲的制作者似乎也注意到了這一點。目前,該蠕蟲中所標出的所有漏洞均已得到修補,所有相關簽名均已失效。某種程度上,這個報告為該蠕蟲制作者提供了免費質量保證報告,向他們展示了需要進行修補的漏洞。
目前看來,幫助漏洞制作者修補漏洞也許不會造成太大的損失,但安全研究人員在無意中協助惡意軟件制作者的這種情況,多少讓人感到擔憂。因此,安全研究人員需要找到一個更好的平衡點 —— 在報告中透露多少信息以幫助IT團隊識別病毒,但又避免因暴露過多信息為攻擊者提供培訓和關鍵性評論。賽門鐵克不提倡在調研報告中高調指出惡意軟件的錯誤的這種做法,這是由于這種行為為保護者采取行動所提供的情報非常少,如同玩撲克牌一樣,安全研究人員應該謹記,如非必要,不要向別人亮出自己的底牌。
防御措施
賽門鐵克建議物聯網設備用戶采取以下措施,以抵御針對物聯網設備的惡意軟件威脅:
在購買物聯網設備前,事先了解設備性能與安全功能對網絡中所使用的物聯網設備執行審核更改設備上的默認信息。在設備賬戶和 Wi-Fi網絡中使用唯一的強密碼在設置Wi-Fi保護接入(WPA)時,使用強加密方法禁用不必要的功能和服務禁用Telnet登錄并盡量使用SSH非必要時,禁用路由器的通用即插即用 (UPnP)功能依據自身的要求與安全策略,修改物聯網設備的默認隱私和安全設置非必要時,禁用或保護對物聯網設備的遠程訪問盡可能使用有線連接代替無線連接定期登錄設備制造商網站,以了解固件升級情況確保設備不會因硬件故障而處于危險狀態賽門鐵克安全防護
賽門鐵克和諾頓產品能夠檢測本文中所提到的以下惡意威脅:
Trojan.GEN.NPELinux.TrojanLinux.MiraiLinux.GafgytLinux.Wifatch
京公網安備 11010502049343號