新一波Mirai攻擊利用開源項目跨平台感染IoT設備

「用指尖改變世界」

過去幾年於物聯網（loT）威脅領域一直是多事之秋，新一波分散式拒絕服務（DDoS）bot（「肉雞」）層出不窮。自首次被報道的2016年Mirai殭屍網路（Linux.Mirai）事件之後，惡意軟體的源代碼隨後被泄露，此系列的變種數量一直在穩步增長，它們的成功進化得益於物聯網大環境的疏於管理。事實上，物聯網市場非常分散，大多數設備都沒有收到已知漏洞的軟體補丁。更糟糕的是，惡意軟體作者繼續發展這些變種，使惡意軟體在不同平台和體系結構中發展得更強大，移動得更加便捷。

利用開源項目

跨平台的IoT殭屍網路的主要痛點之一是可移植性。惡意軟體必須能夠獨立地運行在不同的架構和平台上，不允許任何運行時的意外或錯誤配置出現。如果缺乏經驗的威脅者只是複製/粘貼和重用現有的惡意代碼庫編寫腳本，那他們也極其容易在這裡栽跟頭。

在7月底，賽門鐵克研究者見到了一個實時遠程伺服器，它承載著多個惡意軟體變體，每個變體都適用於特定的平台。和許多Mirai感染一樣，它首先在脆弱的設備上啟動一個shell腳本。該shell腳本依次嘗試下載和執行各個可執行文件，直到找到符合當前體系結構的二進位文件為止。

圖1. shell腳本逐個下載可執行文件，直到找到適用於當前體系結構的可執行文件

成功執行的可執行文件負責實際的Mirai有效負載，例如通過創建隨機地址列表並掃描具有默認憑據或漏洞的設備來枚舉IP地址列表。

雖然這與我們迄今為止看到的Mirai變體的行為類似，但有趣的是編譯後的二進位文件。這些變體是通過利用一個名為Aboriginal Linux的開源項目創建的，該項目使交叉編譯過程變得簡單，有效並且基本可以防止故障。值得注意的是，這個開源項目本身沒有任何惡意或錯誤，惡意軟體作者再次利用合法工具來補充他們的創作，這次是通過有效的交叉編譯解決方案。

這個過程的結果是什麼？

鑒於現有的代碼庫與優雅的交叉編譯框架相結合，由此的惡意軟體變體更加強大，並與多種架構和設備兼容，使其可在各種設備上執行，包括路由器，IP攝像機，連接設備，甚至是Android設備。例如，圖2顯示了在運行Android 4.4的Android設備上運行的ARM7惡意軟體變體，圖3顯示了在Debian ARM上運行的示例。

圖2.在Android 4.4上運行的示例

圖3.在Debian ARM埠中調試的示例

惡意軟體的其餘功能與已知的Mirai行為一致。例如，當我在包含的環境中執行樣本時，它嘗試掃描通過先前描述的隨機生成過程生成的500,000多個IP地址，然後嘗試通過埠23發送原始分組數據。

賽門鐵克的安全專家為普通用戶物聯網設備免遭感染提供了以下建議：

在購買之前研究物聯網設備的功能和安全功能。

對網路上使用的IoT設備進行審核。

更改設備上的默認憑證，為設備帳戶和Wi-Fi網路設置不與其他賬戶重複的強密碼。

在設置Wi-Fi網路訪問（WPA）時使用強加密方法。

禁用不需要的功能和服務。

禁用Telnet登錄並儘可能使用SSH。

除非絕對必要，否則禁用路由器上的通用即插即用（UPnP）。

根據您的要求和安全策略修改IoT設備的默認隱私和安全設置。

在不需要時禁用或保護對IoT設備的遠程訪問。

儘可能使用有線連接而不是無線連接。

定期檢查製造商的網站以獲取固件更新。

確保硬體中斷不會導致設備的不安全狀態。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！