對受感染系統(tǒng)的數(shù)據(jù)進行擦除的物聯(lián)網(wǎng)設(shè)備開始受到惡意軟件的攻擊。
黑客已經(jīng)開始為惡意軟件添加數(shù)據(jù)擦除例程,旨在感染互聯(lián)網(wǎng)和其他嵌入式設(shè)備。最近發(fā)現(xiàn)的一些攻擊顯示出這種行為正在逐漸增多,但黑客可能會出于不同的目的。
來自Palo Alto Networks的研究人員通過一年的漏洞感染數(shù)字錄像機,發(fā)現(xiàn)一個新的惡意軟件程序被稱為“健忘癥”。“健忘癥”是一種被稱為“海嘯”的老式IoT僵尸網(wǎng)絡(luò)客戶端的變體,但有趣的是它試圖檢測能否在虛擬化環(huán)境中運行。
▲Credit: Gerd Altmann / Pixabay
惡意軟件會執(zhí)行一些檢查,以確定其運行的Linux環(huán)境實際上是基于VirtualBox、VMware或QEMU的虛擬機。安全研究人員使用這種環(huán)境來構(gòu)建分析沙箱或蜜罐(Honeypot)。
虛擬機檢測已存在Windows惡意軟件程序多年,但這是第一次在基于Linux的嵌入式設(shè)備構(gòu)建的惡意軟件中觀察到此功能。如果“健忘癥”檢測到虛擬機的存在,它將嘗試使用Linux“rm -rf”shell命令從文件系統(tǒng)中擦除關(guān)鍵目錄,以摧毀他們可能收集的任何證據(jù)。
同時,來自安全服務(wù)提供商Radware的研究人員發(fā)現(xiàn)了一種針對IoT設(shè)備的不同惡意軟件攻擊,他們稱其為BrickerBot。這種攻擊是從其他基于Linux的嵌入式設(shè)備的受損路由器和無線接入點啟動的。
惡意軟件嘗試通過Telnet服務(wù)運行,并通過已經(jīng)暴露在互聯(lián)網(wǎng)設(shè)備上的常用用戶名和密碼組合來進行身份驗證。如果這一行為成功了,它將啟動一系列破壞性命令,用于覆蓋設(shè)備安裝分區(qū)中的數(shù)據(jù);它也會嘗試斷掉互聯(lián)網(wǎng)連接并使設(shè)備無法使用。
雖然一些設(shè)備可能會因為攻擊而得以生存,因為它們使用只讀分區(qū),但許多設(shè)備將不會,也將需要固件刷新。此外,任何配置都可能會丟失,并且在具有USB端口或網(wǎng)絡(luò)連接存儲設(shè)備的路由器的情況下,外部硬盤驅(qū)動器的數(shù)據(jù)也可能被擦除。
實際上,其中一個BrickerBot攻擊變體甚至不只局限于嵌入式設(shè)備和IoT設(shè)備,它還可以在任何基于Linux的系統(tǒng)上工作,如果它具有“弱”或“默認”的憑據(jù),就可以通過Telnet訪問。
目前還不清楚BrickerBot攻擊背后的目標(biāo)是什么。惡意軟件的創(chuàng)建者可能是想要在互聯(lián)網(wǎng)上禁用易受攻擊的設(shè)備的人,以便不能被其他黑客感染和濫用。
去年發(fā)生的一些較大的分布式拒絕服務(wù)(DDoS)攻擊源于被入侵的物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò),所以其意圖是強制用戶采取行動并修復(fù)或替換其易受攻擊的設(shè)備。
大多數(shù)用戶不太可能知道他們的路由器、IP攝像機或網(wǎng)絡(luò)連接的存儲系統(tǒng)是否被惡意軟件感染,并被用于DDoS攻擊,因為這些攻擊對其性能的影響可能不明顯。但是,如果他們被BrickerBot攻擊,他們會立即察覺到不對經(jīng),因為他們的設(shè)備將停止工作,其中很多可能需要手動干預(yù)才能解決。
Amnesia bot是一個非常好的例子,這個例子說明了嵌入式設(shè)備中的漏洞沒有進行自動修補并暴露在互聯(lián)網(wǎng)上,而設(shè)備最終受到了攻擊。在一年多前,惡意軟件攻擊影響了70多個品牌的數(shù)字錄像機(DVR),即錄制來自閉路電視攝像機視頻流的系統(tǒng)。DVR型號受到影響的原因在于,不同品牌銷售的公司實際上是來自中國的一家名為深圳TVT數(shù)字技術(shù)公司的原始設(shè)備制造商(OEM)的硬件和固件。
這種所謂的“白色標(biāo)簽”做法對于許多IoT設(shè)備(包括IP攝像機和路由器)來說是常見的,并且它使受影響的設(shè)備上安裝安全補丁變得非常困難。這也是許多這樣的設(shè)備沒有自動更新的原因之一。
目前,根據(jù)Palo Alto Networks的統(tǒng)計,全球有超過227000臺DVR存在這種漏洞,并直接暴露在互聯(lián)網(wǎng)上。其中最多的是中國臺灣、美國、以色列、土耳其和印度。
在購買相機、路由器、NAS系統(tǒng)或其他IoT設(shè)備時,用戶應(yīng)該查看制造商的安全記錄:該公司是否有專門的安全問題聯(lián)絡(luò)點?過去它是如何處理產(chǎn)品漏洞的? 它是否發(fā)布過安全咨詢?它會定期發(fā)布安全補丁嗎?產(chǎn)品有自動更新功能嗎?
除了價格本身,這些問題的答案應(yīng)該是購買設(shè)備時應(yīng)該考慮的一大元素,因為所有的軟件都會有缺陷,在便宜和昂貴的設(shè)備中都能找到安全漏洞。