傀儡殭屍網路 - 資安趨勢部落格

暴露在外的 Docker 伺服器遭駭客植入挖礦程式與 DDoS 殭屍病毒

2020 年 09 月 23 日2020 年 09 月 15 日趨勢科技 TrendMicro

駭客持續鎖定 Docker 容器環境，趨勢科技最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與 DDoS 殭屍病毒。

駭客持續鎖定 Docker 容器環境，我們最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與分散式阻斷服務 (DDoS) 殭屍病毒。趨勢科技今年五月也曾經通報過類似的攻擊案例，在上次的攻擊案例中，駭客建立了一個 惡意的 Alpine Linux 容器，然後在裡面暗藏惡意挖礦程式與 DDoS 殭屍病毒。

感染程序分析

最近這一次攻擊，駭客會先連線至暴露在網路上的 Docker 伺服器，然後在伺服器上建立並執行一個 Docker 容器，接著在 Docker 容器內執行圖 1 當中的指令。

A code snippet of the command that is executed on the Docker container — 圖 1：駭客在 Docker 容器內執行的指令。

繼續閱讀

捲入地盤之爭：防止物聯網裝置成為殭屍網路爭奪地盤的受害者

2020 年 08 月 21 日2020 年 08 月 10 日趨勢科技 TrendMicro

網路犯罪集團競相建立強大的殭屍網路，藉此爭奪主宰地位，使用者務必了解殭屍網路惡意程式的運作方式以確保自身裝置的安全，避免捲入歹徒的地盤之爭。

下載「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭：殭屍網路爭奪 IoT 地盤) 一文

殭屍網路（botnet）是由一群感染了惡意程式的裝置 (殭屍) 所組成的網路，駭客會利用這些裝置來發動攻擊或從事其他惡意活動，因此殭屍網路的裝置數量是決定其威力的主要關鍵。物聯網（IoT ,Internet of Thing）的問世，正好讓殭屍網路駭客集團找到了可征服的全新戰場，但他們在開疆闢土的同時，卻也面臨了其他殭屍網路的競爭。這一場「蠕蟲戰爭」正在默默上演，但不論最後由哪個網路犯罪集團勝出，不知情的使用者永遠是這場戰爭的輸家，憑空失去了裝置的掌控權。

因此，使用者務必了解駭客利用何種工具來建立殭屍網路，以及他們如何將一般 IoT 裝置 (如路由器) 變成殭屍。在我們的研究報告「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭：殭屍網路爭奪 IoT 地盤) 一文中，我們深入剖析了 IoT 殭屍網路的生態。在這篇文章裡，我們分析了三個殭屍網路惡意程式的原始程式碼來說明其主要功能，這些程式碼是許多殭屍網路惡意程式變種的源頭以及後續領土之爭的基礎。

Kaiten

Kaiten (又名 Tsunami) 是三者之中最古老的一個，它採用 IRC通訊協定來與幕後操縱 (C&C) 伺服器通訊，所以被感染的裝置會從某個 IRC 通道接收駭客的指令。Kaiten 的腳本可在多種硬體架構上執行，因此對網路犯罪集團來說用途相當廣泛。此外，Kaiten 近期的變種還會剷除其他惡意程式好讓自己能夠獨占裝置資源。

繼續閱讀

Mirai 殭屍網路可被用來透過漏洞 CVE-2020-5902攻擊物聯網裝置

2020 年 08 月 06 日2020 年 08 月 03 日趨勢科技 TrendMicro

自從兩個F5 BIG-IP漏洞在7月第一周被披露之後，趨勢科技就持續地監視並分析這些漏洞及相關活動來進一步評估其嚴重性。根據對CVE-2020-5902所發布的解決方法，我們發現一個物聯網（IoT）Mirai殭屍網路下載器（趨勢科技偵測為Trojan.SH.MIRAI.BOI）可以被加入新惡意軟體來掃描找出對外暴露的Big-IP裝置，進而入侵並進行惡意行為。

我們發現的樣本還會去攻擊常見裝置及軟體最近被披露而可能尚未修補的漏洞。建議系統管理員和相關裝置使用者要立即修補自己的工具。

行為

如先前所報導，此安全漏洞是針對BIG-IP流量管理用戶介面（TMUI）的遠端程式碼執行（RCE）漏洞。分析已發布的資訊之後，我們從Apache httpd的緩解規則裡注意到一種可能利用此漏洞的做法是在HTTP GET請求的URI裡包含分號。分號在Linux命令中代表已完成，這也是觸發漏洞所需要的字元。為了進一步分析，我們用下列Yara規則來測試IoT殭屍網路作者是否可以在現有或新惡意軟體加入掃描功能：

繼續閱讀

八個互爭地盤,專駭智慧裝置的IoT 殭屍網路

2020 年 07 月 16 日2020 年 07 月 24 日趨勢科技 TrendMicro

當物聯網（IoT ,Internet of Thing）讓許多東西都變得聰明之後，一些原本熟悉的場所也開始出現革命性變化。家庭、辦公室、都市，這些只不過是 IoT 裝置帶來便利、安全及控管的幾個範例。但便利性並非不需代價：隨著 IoT 的崛起，傳統網路威脅也找到了新的出路，例如 IoT 殭屍網路。

有趣的是，不同 IoT 殭屍網路之間還會互相爭奪地盤。至於 IoT 系統整合商，則是忙著守住裝置控制權。使用者與系統整合商必須知道自己所面對的是什麼樣的敵人，如此才能強化資安防禦，不讓 IoT 裝置變成敵人的手下。

什麼是 IoT 殭屍網路？

傳統的殭屍網路是一個由一大群「殭屍電腦」所組成的網路，網路犯罪集團利用電腦所感染的惡意程式來操控這些殭屍電腦,並從遠端操縱這些被駭入的殭屍電腦來發動分散式阻斷服務 (DDoS) 攻擊，或利用這些電腦的資源來從事挖礦( coinmining )。IoT 殭屍網路跟這很像，同樣也是一群遭到網路犯罪集團駭入的智慧裝置，歹徒的意圖跟傳統殭屍網路集團大致相同。

繼續閱讀

趨勢科技研究發現殭屍網路正掀起家用路由器爭奪戰

2020 年 07 月 16 日2020 年 07 月 16 日趨勢科技 TrendMicro

報告指出家庭使用者已陷入最新網路犯罪地盤搶奪戰

【2020年7月16日，台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天發表一份最新研究報告，警告消費者小心最近興起的一波網路大戰，駭客集團正積極駭入家用路由器來建立自己的物聯網 (IoT) 殭屍網路，呼籲使用者應採取因應措施來防範自己的裝置因遭駭客入侵而成為網路犯罪的幫兇。

近來，路由器相關的攻擊數量突然暴增，尤以 2019 年第四季最多。該研究指出，由於駭客掌握了路由器之後就能輕易利用被駭入的路由器在網路上發動其他攻擊來獲利，因此路由器相關的攻擊勢必將與日俱增。

趨勢科技全球威脅通訊總監 Jon Clay 表示：「現在，絕大部分的人不論工作或學習都會透過家用網路來上網，所以確實掌握路由器的狀況比以前更加重要。網路犯罪集團深知絕大多數家用路由器都還在使用出廠預設的登入密碼，因此正加強火力發動大規模攻擊行動。這類攻擊對家庭使用者來說，可能造成網路頻寬被占用，因而拖慢網路的速度。對企業而言，正如過去看到的幾個知名案例，歹徒很可能利用這些路由器所組成的殭屍網路大軍攻擊並全面癱瘓企業網站。」

繼續閱讀