去年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。
最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址,然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置,它所嘗試的連接埠 (和通訊協定) 有:7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月,該病毒的原始程式碼開始在網路上流傳,攻擊案例也開始攀升。各種變種開始攻擊各大知名網站,如:Netflix、Reddit、Twitter、AirBnB,其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。
最近,Mirai 又再次登上媒體版面,這一次它挾著新 Windows 木馬程式的威力,進一步擴大地盤。
去年我們就預測,像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過,這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具,而非另一個殭屍病毒。在 2015、2016 年,Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為 BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標,讓 Mirai 殭屍病毒散布得更廣。
以 Windows 為跳板,尋找適合納入殭屍網路的目標
此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置,就會檢查裝置使用的是什麼作業系統。如果是 Linux,就會在裝置內植入 Mirai 病毒,讓這台裝置也變成殭屍。如果是 Windows,就將木馬程式複製一份到該裝置上,然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。
圖 1:Windows 木馬程式當中負責掃瞄連接埠的程式碼。