Mirai 殭屍網路 - 資安趨勢部落格

捲入地盤之爭：防止物聯網裝置成為殭屍網路爭奪地盤的受害者

2020 年 08 月 21 日2020 年 08 月 10 日趨勢科技 TrendMicro

網路犯罪集團競相建立強大的殭屍網路，藉此爭奪主宰地位，使用者務必了解殭屍網路惡意程式的運作方式以確保自身裝置的安全，避免捲入歹徒的地盤之爭。

下載「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭：殭屍網路爭奪 IoT 地盤) 一文

殭屍網路（botnet）是由一群感染了惡意程式的裝置 (殭屍) 所組成的網路，駭客會利用這些裝置來發動攻擊或從事其他惡意活動，因此殭屍網路的裝置數量是決定其威力的主要關鍵。物聯網（IoT ,Internet of Thing）的問世，正好讓殭屍網路駭客集團找到了可征服的全新戰場，但他們在開疆闢土的同時，卻也面臨了其他殭屍網路的競爭。這一場「蠕蟲戰爭」正在默默上演，但不論最後由哪個網路犯罪集團勝出，不知情的使用者永遠是這場戰爭的輸家，憑空失去了裝置的掌控權。

因此，使用者務必了解駭客利用何種工具來建立殭屍網路，以及他們如何將一般 IoT 裝置 (如路由器) 變成殭屍。在我們的研究報告「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭：殭屍網路爭奪 IoT 地盤) 一文中，我們深入剖析了 IoT 殭屍網路的生態。在這篇文章裡，我們分析了三個殭屍網路惡意程式的原始程式碼來說明其主要功能，這些程式碼是許多殭屍網路惡意程式變種的源頭以及後續領土之爭的基礎。

Kaiten

Kaiten (又名 Tsunami) 是三者之中最古老的一個，它採用 IRC通訊協定來與幕後操縱 (C&C) 伺服器通訊，所以被感染的裝置會從某個 IRC 通道接收駭客的指令。Kaiten 的腳本可在多種硬體架構上執行，因此對網路犯罪集團來說用途相當廣泛。此外，Kaiten 近期的變種還會剷除其他惡意程式好讓自己能夠獨占裝置資源。

繼續閱讀

八個互爭地盤,專駭智慧裝置的IoT 殭屍網路

2020 年 07 月 16 日2020 年 07 月 24 日趨勢科技 TrendMicro

當物聯網（IoT ,Internet of Thing）讓許多東西都變得聰明之後，一些原本熟悉的場所也開始出現革命性變化。家庭、辦公室、都市，這些只不過是 IoT 裝置帶來便利、安全及控管的幾個範例。但便利性並非不需代價：隨著 IoT 的崛起，傳統網路威脅也找到了新的出路，例如 IoT 殭屍網路。

有趣的是，不同 IoT 殭屍網路之間還會互相爭奪地盤。至於 IoT 系統整合商，則是忙著守住裝置控制權。使用者與系統整合商必須知道自己所面對的是什麼樣的敵人，如此才能強化資安防禦，不讓 IoT 裝置變成敵人的手下。

什麼是 IoT 殭屍網路？

傳統的殭屍網路是一個由一大群「殭屍電腦」所組成的網路，網路犯罪集團利用電腦所感染的惡意程式來操控這些殭屍電腦,並從遠端操縱這些被駭入的殭屍電腦來發動分散式阻斷服務 (DDoS) 攻擊，或利用這些電腦的資源來從事挖礦( coinmining )。IoT 殭屍網路跟這很像，同樣也是一群遭到網路犯罪集團駭入的智慧裝置，歹徒的意圖跟傳統殭屍網路集團大致相同。

繼續閱讀

Mirai 變種 Miori 再進化：IoT殭屍網路透過ThinkPHP遠端程式碼執行漏洞散播

2019 年 01 月 01 日2018 年 12 月 31 日趨勢科技 TrendMicro

對許多的物聯網（IoT ,Internet of Thing ）使用者來說，針對智慧型設備的漏洞攻擊一直都是個問題。而最惡名昭彰的物聯網威脅或許是不斷變種的Mirai惡意軟體，一直被用在許多的攻擊活動中，會利用預設或弱帳密來入侵設備。自從它的原始碼在2016年流出之後，出現了各種不同的Mirai變種和衍生病毒。

我們分析了一個稱為「Miori」的Mirai變種，它會透過PHP框架（ThinkPHP）的遠端程式碼執行（RCE）漏洞散播。它所利用的漏洞比較新 – 相關的詳細資訊到12月11日才浮出水面。這隻IoT殭屍網路病毒會攻擊ThinkPHP 5.0.23及5.1.31之前版本的上述漏洞來進行散播。直得注意的是，我們的Smart Protection Network也顯示出ThinkPHP RCE相關資安事件在最近有所增加。我們認為駭客們會各自利用ThinkPHP漏洞來賺取好處。

除了Miori，有幾隻已知Mirai變種（如IZ1H9和APEP）也會利用相同的RCE漏洞進行散播。這些變種都會用預設帳密或暴力破解攻擊來透過Telnet入侵並散播到其他設備。一旦這些Mirai的變種感染了Linux機器，就會將其變成殭屍網路的一部分，用來進行分散式阻斷服務（DDoS）攻擊。

檢視Mirai變種 – Miori

Miori只是Mirai諸多分支的其中一個。Fortinet曾介紹過它跟另一個變種Shinoa有驚人的相似之處。我們自己的分析顯示使用Miori病毒的駭客利用Thinkpad RCE來讓有漏洞的機器從hxxp://144[.]202[.]49[.]126/php下載並執行惡意軟體：

圖1.、RCE下載並執行Miori惡意軟體

繼續閱讀

曾造成大規模網路癱瘓的物聯網殭屍病毒Mirai ,變種如野火蔓延

2017 年 11 月 30 日2017 年 11 月 30 日趨勢科技 TrendMicro

2016年年底，以 Linux 類系統為目標的 Mirai 殭屍病毒造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊，讓我們見識到物聯網有多麼脆弱。最初的 Mirai 殭屍病毒是在 2016 年 8 月發現，專門攻擊採用 Linux 韌體的 IoT 裝置，例如：路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。請參考:專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!

概念證明（PoC）程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。

近日一名安全研究人員據報發現一隻Mirai的新變種（趨勢科技確定屬於ELF_MIRAI病毒家族）正在迅速擴散。在11月底觀察到了端口2323和23的流量顯著地增加，其中約10萬筆不重複的掃描IP來自阿根廷。

被公布在公開漏洞資料庫的概念證明（PoC）漏洞攻擊碼被認為引發了Mirai殭屍網路活動的增加。10月31日公佈漏洞攻擊碼後，這些掃描在11月22日就使用了概念證明（PoC）程式碼。這概念證明（PoC）程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。繼續閱讀

台灣遭勒索病毒攻擊次數，全球排名第18名亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅

2017 年 03 月 08 日2017 年 04 月 25 日趨勢科技 TrendMicro

2016 年的威脅情勢屢創新高：新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中，勒索病毒家族數量去年飆升7倍，趨勢科技統計，受勒索病毒攻擊次數全球排行榜中，台灣排名第18名，仍屬於資安高風險國家，亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國，亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元，相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評：企業威脅刷新紀錄的一年」，報告顯示2016 年網路威脅屢創新高，勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)越來越受網路犯罪集團青睞。

其中，勒索病毒造成全球企業損失金額高達 10 億美元（相當於新台幣300億元），且勒索病毒新家族數量較2015年相比成長 7 倍，顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄，網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長，而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數，也突破去年的紀錄，甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話，那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅: