兩大物聯(lián)網(wǎng)惡意軟件為了爭奪僵尸網(wǎng)絡(luò)打起來了

Mirai，因其無人能及的物聯(lián)網(wǎng)設(shè)備感染能力而聲名狼藉，如今，它有了一個(gè)勢均力敵的對手。

根據(jù)安全研究人員觀測，一種新出現(xiàn)的惡意程序正在大肆感染防護(hù)弱的物聯(lián)網(wǎng)設(shè)備，其感染能力甚至超越了Mirai。

BackConnect（一家提供反DDoS攻擊服務(wù)的廠商）的首席技術(shù)官M(fèi)arshal Webb表示：“它差不多可以看為Mirai的強(qiáng)化版?！?/p>

安全研究人員稱這個(gè)物聯(lián)網(wǎng)惡意軟件新星為Hajime。Hajime已經(jīng)持續(xù)擴(kuò)散了六個(gè)多月，它至今仍在勢頭不減地締造著僵尸網(wǎng)絡(luò)。Webb估計(jì)全球已有大約十萬臺(tái)設(shè)備被感染。

這些被控電腦組成的僵尸網(wǎng)絡(luò)隱藏著驚人的破壞力。它們通常用于發(fā)起規(guī)模巨大的DDoS攻擊，從而徹底癱瘓網(wǎng)站甚至破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

這像極了去年10月Mirai占據(jù)頭條的情形。攻擊者通過Mirai建立的僵尸網(wǎng)絡(luò)發(fā)起了一次針對域名服務(wù)商Dyn的DDoS攻擊，從而癱瘓或影響了整個(gè)美國的網(wǎng)絡(luò)通信。

Hajime問世的時(shí)間與Mirai相同，當(dāng)Rapidity Networks的安全研究人員尋找Mirai的活動(dòng)跡象時(shí)。他們發(fā)現(xiàn)了意料之外的東西，它與Mirai類似，但比Mirai更頑強(qiáng)。

與Mirai類似，Hajime會(huì)在全網(wǎng)掃描那些安全性較差的物聯(lián)網(wǎng)設(shè)備，比如攝像機(jī)、DVR和路由器。它會(huì)運(yùn)用不同的常見用戶名和密碼的組合來破解設(shè)備，然后植入惡意程序。

然而，和Mirai不同，Hajime控制的設(shè)備并不會(huì)從指令/控制端接受命令。相反，它通過BT通信協(xié)議建立了點(diǎn)對點(diǎn)網(wǎng)絡(luò)，形成了一個(gè)分散的僵尸網(wǎng)絡(luò)，因而很難被停止。

Webb說：“Hajime遠(yuǎn)比Mirai先進(jìn)多了，它用了一種更有效的管控手段?！?/p>

寬帶服務(wù)提供商一直通過阻斷網(wǎng)絡(luò)與指令/控制(C&C)端的通信來對抗Mirai僵尸網(wǎng)絡(luò)。而這時(shí)，由相同設(shè)備組成的Hajime僵尸網(wǎng)絡(luò)的規(guī)模增漲到了24/7倍。其點(diǎn)對點(diǎn)通信特性意味著很多被感染的設(shè)備可以傳輸文件或命令其他僵尸網(wǎng)絡(luò)，使Hajime面對種種抵抗措施表現(xiàn)得更具彈性。

藍(lán)色線代表Hajime的感染嘗試，紅色線代表Mirai的感染嘗試

誰是Hajime的幕后操縱者？安全研究人員尚不能下定論。令人驚訝的是，研究人員至今未呢能觀測到Hajime僵尸網(wǎng)絡(luò)發(fā)動(dòng)任何DDoS攻擊,這真是不幸中的萬幸。Hajime僵尸網(wǎng)絡(luò)完全有能力制造一場與Mirai相媲美的災(zāi)難。

安全廠商Radware的研究員Pascal Geenens表示：“至今沒有任何攻擊與此有關(guān)，我們沒收到相關(guān)報(bào)告。”

然而毫無爭議的是，Hajime仍步步為營地?cái)U(kuò)散自己的感染范圍。Geenens設(shè)置了用于監(jiān)測僵尸網(wǎng)絡(luò)活動(dòng)的蜜罐，監(jiān)測到了漫天遍地的被Hajime感染的設(shè)備入侵的企圖。

所以這個(gè)僵尸網(wǎng)絡(luò)的最終目的仍然是個(gè)謎。但是它能力范圍內(nèi)的用途包括以勒索為目的發(fā)起DDoS攻擊或從事金融詐騙。

Hijame的威脅如同一塊黑云。說不準(zhǔn)哪天，它就會(huì)被用于危險(xiǎn)用途。

當(dāng)然，也有可能Hajime只是一個(gè)研究項(xiàng)目。甚至可能和所有人預(yù)想的相反，這是某個(gè)安全專家用于一個(gè)抗衡Mirai的工具。

保加利亞的國家計(jì)算機(jī)病毒實(shí)驗(yàn)室的安全專家Vesselin Bontchev指出，到目前為止，Hajime似乎比Mirai擴(kuò)散得更廣泛。

然而，這兩個(gè)惡意軟件之間還有一個(gè)明顯區(qū)別。據(jù)觀察，Hajime對ARM芯片架構(gòu)的物聯(lián)網(wǎng)設(shè)備感染較少。

不妨與Mirai做個(gè)對比。Mirai的源代碼于9月下旬公開，此后就受到各種黑客追捧，代碼的更新升級層出不窮。Vesselin的調(diào)查顯示，Mirai能感染基于感染基于ARM、MIPS、x86和其他六個(gè)平臺(tái)的物聯(lián)網(wǎng)設(shè)備。

這意味著兩個(gè)惡意軟件的狩獵領(lǐng)地并不是完全重疊的。然而，Hajime確實(shí)扼制了Mirai的一些擴(kuò)張行為。

Flashpoint安全研究主管Allison Nixon指出：“Mirai和Hajime之間絕對會(huì)有一場漫長的領(lǐng)土戰(zhàn)爭”。

要想阻止惡意軟件，安全研究人員認(rèn)為最好能解決這一問題的根源，即修補(bǔ)脆弱的物聯(lián)網(wǎng)設(shè)備。但是，即便從最樂觀的角度看，這都需要大量時(shí)間，而這一目標(biāo)有時(shí)就像是個(gè)不可能實(shí)現(xiàn)的任務(wù)。

Nixon說，確實(shí)有一些物聯(lián)網(wǎng)供應(yīng)商會(huì)為產(chǎn)品發(fā)布安全補(bǔ)丁以防止惡意軟件感染，但許多廠商對此無動(dòng)于衷。

這意味著Hajime和Mirai可能會(huì)肆虐很長一段時(shí)間，直到這些安全性弱的設(shè)備都超過年限被淘汰的那一天。

Nixon表示：“這種狀況將持續(xù)下去。即使切斷設(shè)備的電源，惡意軟件仍然會(huì)卷土重來，再次感染設(shè)備。惡意軟件的入侵永遠(yuǎn)不會(huì)停止?！?/p>

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。