敵對的IoT惡意軟件在殭尸網(wǎng)絡(luò)的領(lǐng)域上競爭

時間：2017-07-07 09:00:51

關(guān)鍵字：大數(shù)據(jù) 數(shù)據(jù)傳輸物聯(lián)網(wǎng) 網(wǎng)絡(luò)安全

手機(jī)看文章

掃描二維碼
隨時隨地手機(jī)看文章

[導(dǎo)讀]Mirai是一個臭名昭彰的IoT惡意軟件，專門用來奴役IoT裝置。根據(jù)信息安全言研究人員所說，敵對的程序代碼已經(jīng)成功感染許多相同的容易入侵的物聯(lián)網(wǎng)裝置，并且具有擊敗Mirai的彈性。

Mirai是一個臭名昭彰的IoT惡意軟件，專門用來奴役IoT裝置。根據(jù)信息安全言研究人員所說，敵對的程序代碼已經(jīng)成功感染許多相同的容易入侵的物聯(lián)網(wǎng)裝置，并且具有擊敗Mirai的彈性。

BackConnect的CTO Marshal Webb說：“你幾乎可以直接將它稱為Mirai的類固醇”。BackConnect是一個提供對抗DDoS的服務(wù)的提供商。

信息研究人員將這個敵對的物聯(lián)網(wǎng)惡意軟件命名為Hajime，雖然他只被發(fā)現(xiàn)了六個多月，但是他已經(jīng)建立了一個殭尸網(wǎng)絡(luò)了。Webb估計他在全球已經(jīng)感染了大約10萬臺裝置。

這些殭尸網(wǎng)絡(luò)會奴役計算機(jī)，造成問題。他們大多被用來進(jìn)行大量的DDoS攻擊，造成網(wǎng)站無法使用或是癱瘓網(wǎng)絡(luò)設(shè)施。這也就是Mirai惡意軟件上了去年十月頭條的原因。一個由Mirai的殭尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊針對了DNS的提供商Dyn，造成整個美國的網(wǎng)絡(luò)速度下降、癱瘓的問題。

Hajime在同一個月被發(fā)現(xiàn)，在Rapidity Networks的研究人員搜尋Mirai的行動時所發(fā)現(xiàn)。他們發(fā)現(xiàn)了這個類似的活動，但是他卻更頑強(qiáng)。跟Mirai類似，Hajime也會搜尋網(wǎng)絡(luò)上安全防護(hù)不足的物聯(lián)網(wǎng)裝置，例如相機(jī)、DVRs或是路由器。他會使用不同的賬號密碼來試著入侵并送入一個惡意的程序。

但是，Hajime不會透過C&C服務(wù)器送出指令，他透過P2P的方式來溝通，這使得殭尸網(wǎng)絡(luò)變的離散化，也更難被停止。“Hajime比Mirai更加更加的進(jìn)階”Webb說：“他使用了一個更有效率的方法來進(jìn)行控制。”

BoardBand的提供商已經(jīng)透過阻擋與他們鏈接的服務(wù)器的網(wǎng)絡(luò)流量，從而攻破了未來新建的殭尸網(wǎng)絡(luò)。與此同時，Hajime一直在全天候增長，奴役了一些相同的設(shè)備。他的P2P生態(tài)意味著許多被感染的設(shè)備可以將文件或指令傳遞給殭尸網(wǎng)絡(luò)的其余部分，從而使其更有彈性。

Hajime的幕后黑手是誰仍然不確定。奇怪的是，他們還沒有偵測到任何由Hajime殭尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊。畢竟他的規(guī)模足以發(fā)動類似于Mirai曾經(jīng)發(fā)起過的DDoS攻擊。

但是，Hajime確實在持續(xù)搜尋網(wǎng)絡(luò)上有弱點的裝置。Geenens的honeypot，一個追蹤殭尸網(wǎng)絡(luò)活動的系統(tǒng)，已經(jīng)被Hajime控制的裝置的感染嘗試所淹沒。所以這個殭尸網(wǎng)絡(luò)的目標(biāo)仍然未知。但是其中一個情境是他將被網(wǎng)絡(luò)罪犯用來進(jìn)行DDoS攻擊并進(jìn)行金融敲詐。

“他是一個很大的威脅”Geenens說：“在某些時候，他可以被用來做一些很危險的事情。”

Hajime也有可能是一個研究的項目。又或者是一些信息安全專家用來阻擋Mirai的設(shè)計。

Hajime可能會比Mirai更廣為散布，Bulgaria的National Laboratory of Computer Virology的信息安全專家Vesselin Bontchev表示。

但是，這兩個惡意軟件之間還有一個特別的差異。Hajime被發(fā)現(xiàn)他感染了一小群使用ARM芯片的物聯(lián)網(wǎng)裝置。

這跟去年九月發(fā)布的Mirai樣本形成一個對比。自從那時起，copycat黑客使用了這個程序代碼并升級了這個惡意軟件。Vesselin發(fā)現(xiàn)Mirai限制自己不去感染使用ARM、MIPS、x86等六種平臺的物聯(lián)網(wǎng)裝置。這顯示了這兩個惡意軟件的范疇并沒有完全重迭。盡管如此，Hajime仍然限制了Mirai的擴(kuò)展。“這絕對是一個領(lǐng)地的沖突”Flashpoint的主任Allison Nixon說。

為了阻止這些惡意軟件，研究人員表示最好的辦法就是解決掉最根本的問題，也就是將這些有弱點的物聯(lián)網(wǎng)裝置提高防御力。但是這將會花費許多時間，甚至也可能是無法達(dá)成的。一些物聯(lián)網(wǎng)的供貨商會釋出安全性更新給他們的產(chǎn)品，但是大部分都不會，Nixon說。

這表示Hajime與Mirai將會持續(xù)糾纏很長一段時間，直到那些裝置被淘汰。“這將會持續(xù)下去”Nixon表示：“就算發(fā)生了停電，這些惡意軟件還是會重新再感染依次這些裝置。這將永遠(yuǎn)不會停止。”