【51CTO.com快译】2016年9月,著名美国安全专家Brian Krebs 的博客KrebsOnSecurity.com与法国网络托管企业OVH遭到了记录性的DDoS攻击。2016年10月21日星期五上午,美国网络托管服务企业Dyn受到了DDoS攻击,因此Airbnb、PayPal、Netflix、SoundCloud、Twitter、The New York Times等各大门户网站均受到持续性威胁,攻击者使用了可以让IoT感染的名为Mirai的恶性代码。韩国安博士月刊在2015年10月《IoT与嵌入式Linux恶性代码》的期刊中提到了以攻击物联网设备为目标的Linux恶性代码生成与基于嵌入式Linux设备的安全问题。
本篇文章将会介绍包括Mirai恶性代码等在内的最近发生在物联网中的恶性代码。
如今各种操作系统在IoT市场竞争激烈,其中嵌入式Linux系统被广泛使用。我们经常接触的网络路由器、机顶盒、NAS(Network Attached Storage)、数码录像机、IP照相机等都使用嵌入式Linux系统, 这些系统与台式机相比虽然性能低下,但是与其他IoT产品相比,这些产品的性能最接近计算机,所以攻击者常常会把这些IoT产品作为首选攻击目标。
以嵌入式Linux系统为攻击目标的恶性代码在2008年第一次被报道,早期的嵌入式Linux恶性代码使用MIPS对网络路由器进行感染攻击,在2012年发现的Aidra蠕虫病毒可以对除了使用MIPS的网络路由器以外的其他机顶盒等多种嵌入式Linux系统环境进行感染。很多嵌入式Linux恶性代码虽然以DDoS攻击为主要目标,但是在2013年发现的Darllo恶性代码主要以挖掘类似电子货币或者其他虚拟货币为主要目标。2014年末,名为Lizard Squad 的组织通过Gafgyt变种升级进行的DDoS攻击主要对游戏网站展开攻击。2016年9月10月,Mirai恶性代码引起了大规模的DDoS攻击,攻击对象主要为网络路由器DVR(Digital Video Recorder)及IP相机等物联网设备。
主要嵌入式Linux恶性代码时间轴
其中对特定的物联网设备进行感染的恶性代码不断进行变种升级,常见的恶性代码有Aidra、Darlloz、Gafgyt、Mirai、Pnscan等。从这5种恶性代码发现的状况来看,2012年为36个,2013年为26个,2014年为348个,2015年为1180个,2016年为9125个。根据2016年10月31号截止的统计报告显示,预计截止到年末将会总共发生超过1万起恶性代码攻击,由此看来从2014年以后,恶性代码以爆发性的增加趋势肆意传播。
主要IoT恶性代码状况
Aidra恶性代码在2012年2月初首次被发现,据推测该恶性代码在2011年末完成制作,是最早的物联网恶性代码,现有的嵌入式Linux恶性代码对使用MIPS的网络路由器进行攻击,这些恶性代码不仅在MIPS程序中传播,也在MIPSEL、PowerPC、SuperH等多种程序中传播。
Darlloz恶性代码在2013年10月被发现主要通过物联网病毒蠕虫感染攻击英特尔×86、MIPS、Arm、PowerPC等系统。其他的恶性代码一般都是以DDoS的形式进行攻击,此恶性代码主要以挖掘类似比特币等虚拟货币为主要目标。
Gafgyt于2014年8月第一次被发现,特别是2014年末在Lizard Squard(Xbox Live)与PlayStation Network的DDoS攻击发生后变得更加有名。2015年1月Gafgyt的源代码被公开,目前Gafgyt也是存在最多变型的恶性代码。
Mirai以日语“未来”的发音而命名,于 2016年5月第一次被发现。2016年10月初,在公开了其源代码以后,使用此恶性代码的变型越来越多。2016年9月对安全博客实施了大规模DDoS攻击,2016年10月对Hosting企业Dyn进行了DDos攻击,随后Mirai变得更加有名。Mirai恶性代码具有UDP Flood, Syn Flood, ACK Flood, GRE IP Flood等多种DDos攻击功能。
Pnscan恶性代码于2015年8月被俄罗斯安全公司Dr. Web发现。此恶性代码如果将ARM、MIPS、PowerPC系统感染的话就会对HNAP(Home Network Administration Protocol)与 CVE-2013-2678的漏洞进行攻击。
目前还没有针对基于嵌入式Linux系统的物联网产品感染的恶性代码进行诊断和修复的方法,因为没有相关的杀毒软件,即便存在这样的杀毒软件如果没有厂商的帮助的话,此程序是很难进行设置的,因此提前预防恶性代码更为重要。首先对网络路由器或者NAS出厂设置密码要进行及时更改,新设置的密码要由数字与特殊文字组合起来使用,并周期性进行变更。恶性代码中的Admin, adin1, guest, root, support等的账号中主要使用的密码如下:
安全性低的密码账号
Mirai恶性代码中包含的密码文字序列
攻击者最近不停的寻找网络路由器的漏洞,厂商也在不断进行周期性固件升级更新。物联网中不断的产生其他各种各样的漏洞,与网络连接的设备都要使用最新的固件并不断进行更新,很多情况下攻击者都是恶意利用接触网络实行攻击的,因此,不是必须的情况应该要关闭外部访问功能。
2014年以后,嵌入式Linux恶性代码中引起的DDoS攻击在很多国家政府中发生了各种严重的问题。韩国未来创造科学院在2016年9月发布了《IoT共同安全指南》,该指南以IoT设备生命周期为基准,详细记录了15种安全要求事项和技术·管理注意事项。因此物联网设备制造商应该根据该指南,以及KR-CERT公布的“路由器产品生产以及使用安全向导”和OWASP的“IoT安全向导”三项来设计和生产产品。
另一方面还要加强与网络安全公司的合作,不断探索安全产品,通过舆论宣传物联网存在的危险性。个人以及企业在购买物联网设备时与价格相比一定要选择安全性高的产品。
【原标题】IoT 환경 위협하는 ‘리눅스 악성코드 Top 5’(作者: 안랩보안전문가)
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】