去年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。
最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址,然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置,它所嘗試的連接埠 (和通訊協定) 有:7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月,該病毒的原始程式碼開始在網路上流傳,攻擊案例也開始攀升。各種變種開始攻擊各大知名網站,如:Netflix、Reddit、Twitter、AirBnB,其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。
最近,Mirai 又再次登上媒體版面,這一次它挾著新 Windows 木馬程式的威力,進一步擴大地盤。
去年我們就預測,像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過,這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具,而非另一個殭屍病毒。在 2015、2016 年,Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為 BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標,讓 Mirai 殭屍病毒散布得更廣。
以 Windows 為跳板,尋找適合納入殭屍網路的目標
此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置,就會檢查裝置使用的是什麼作業系統。如果是 Linux,就會在裝置內植入 Mirai 病毒,讓這台裝置也變成殭屍。如果是 Windows,就將木馬程式複製一份到該裝置上,然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。
圖 1:Windows 木馬程式當中負責掃瞄連接埠的程式碼。
⊙延伸閱讀: 如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?
Windows 版的木馬程式可掃瞄的連接埠數量又比原本 Linux 版的 Mirai 病毒更上層樓,而且會盡可能找出所有可感染裝置的途徑。它會檢查目標裝置是否開放以下連接埠:22 (SSH)、23 (Telnet)、135 (DCE/RPC)、445 (Active Directory)、1433 (MSSQL)、3306 (MySQL) 以及 3389 (RDP)。這些都是裝置通常會開啟的連接埠,經常用於:分散式軟體、檔案分享、遠端裝置管理等等。
主要針對目標是 MySQL 和 Microsoft SQL Server 資料庫這類主機軟體
從這些被攻擊的連接埠可看出其主要針對目標是 MySQL 和 Microsoft SQL Server 資料庫這類主機軟體。一旦找到,木馬程式就會試圖建立一個系統管理員權限的新使用者。更確切一點,當它找到 Microsoft SQL Server 時,會試圖建立一個名為「Mssqla」的系統管理員帳號。這樣歹徒就能變更伺服器的組態設定,甚至將伺服器關機、變更帳號設定、終止執行中的程序、執行 BULK INSERT (批次插入) 指令敘述,以及建立、修改、刪除或復原任何資料庫。
雖然這個 Windows 木馬程式的目的只有一個,就是散布 Mirai 病毒,但它卻仍有很大的成長空間。它只要稍加修改就能散布其他惡意程式,而且由於它專門感染 Windows 裝置,因此也擴大了 Mirai 的活動範圍。
除此之外,這個惡意程式還可用來入侵同一網路之下的其他 IoT 裝置並加以感染。一般來說,家用網路的 IP 位址都很容易猜測,絕大部分都是 192.168.x.x。由於這個 Windows 木馬程式會從幕後操縱 (C&C) 伺服器取得要掃瞄的 IP 位址,因此伺服器可以指定指掃瞄本地端 IP 位址範圍,如此就能找到所有附近的 IoT 裝置,然後試著用預設的帳號密碼登入看看。這將導致使用預設密碼的物聯網設備都被感染。
趨勢科技PC-cillin雲端版能有效防範這項威脅,在端點裝置上偵測惡意程式。除此之外,趨勢科技 Home Network Security 家庭網路安全方案可以保護家用路由器這類 IoT 裝置,檢查路由器和所有連線裝置之間的網路流量。企業機構則可採用趨勢科技的Deep Discovery Inspector 網路裝置來監控所有連接埠及 105 種以上的網路通訊協定來偵測進階威脅和針對性攻擊。
趨勢科技採集到的 BKDR_MIRAI.A 樣本共有下列幾種 SHA1 雜湊碼:
- 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e
- F97E8145E1E818F17779A8B136370C24DA67A6A5
- 9575D5EDB955E8E57D5886E1CF93F54F52912238
- 938715263e1e24f3e3d82d72b4e1d2b60ab187b8
TippingPoint 客戶可利用下列 MainlineDV 過濾條件來防範這項威脅:
- 27134: HTTP: BKDR_MIRAI.A Checkin
原文出處:Mirai Widens Distribution with New Trojan that Scans More Ports 作者:Giannina Escueta (技術通訊)
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。