去年年底，以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊，讓我們見識到物聯網有多麼脆弱。

最初的 Mirai 殭屍病毒是在 2016 年 8 月發現，專門攻擊採用 Linux 韌體的 IoT 裝置，例如：路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址，然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置，它所嘗試的連接埠 (和通訊協定) 有：7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月，該病毒的原始程式碼開始在網路上流傳，攻擊案例也開始攀升。各種變種開始攻擊各大知名網站，如：Netflix、Reddit、Twitter、AirBnB，其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。

最近，Mirai 又再次登上媒體版面，這一次它挾著新 Windows 木馬程式的威力，進一步擴大地盤。

去年我們就預測，像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過，這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具，而非另一個殭屍病毒。在 2015、2016 年，Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為  BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標，讓 Mirai 殭屍病毒散布得更廣。

以 Windows 為跳板,尋找適合納入殭屍網路的目標

此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置，就會檢查裝置使用的是什麼作業系統。如果是 Linux，就會在裝置內植入 Mirai 病毒，讓這台裝置也變成殭屍。如果是 Windows，就將木馬程式複製一份到該裝置上，然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。

圖 1：Windows 木馬程式當中負責掃瞄連接埠的程式碼。

⊙延伸閱讀:         如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?

Windows 版的木馬程式可掃瞄的連接埠數量又比原本 Linux 版的 Mirai 病毒更上層樓，而且會盡可能找出所有可感染裝置的途徑。它會檢查目標裝置是否開放以下連接埠：22 (SSH)、23 (Telnet)、135 (DCE/RPC)、445 (Active Directory)、1433 (MSSQL)、3306 (MySQL) 以及 3389 (RDP)。這些都是裝置通常會開啟的連接埠，經常用於：分散式軟體、檔案分享、遠端裝置管理等等。

主要針對目標是 MySQL 和 Microsoft SQL Server 資料庫這類主機軟體

從這些被攻擊的連接埠可看出其主要針對目標是 MySQL 和 Microsoft SQL Server 資料庫這類主機軟體。一旦找到，木馬程式就會試圖建立一個系統管理員權限的新使用者。更確切一點，當它找到 Microsoft SQL Server 時，會試圖建立一個名為「Mssqla」的系統管理員帳號。這樣歹徒就能變更伺服器的組態設定，甚至將伺服器關機、變更帳號設定、終止執行中的程序、執行 BULK INSERT (批次插入) 指令敘述，以及建立、修改、刪除或復原任何資料庫。

雖然這個 Windows 木馬程式的目的只有一個，就是散布 Mirai 病毒，但它卻仍有很大的成長空間。它只要稍加修改就能散布其他惡意程式，而且由於它專門感染 Windows 裝置，因此也擴大了 Mirai 的活動範圍。

除此之外，這個惡意程式還可用來入侵同一網路之下的其他 IoT 裝置並加以感染。一般來說，家用網路的 IP 位址都很容易猜測，絕大部分都是 192.168.x.x。由於這個 Windows 木馬程式會從幕後操縱 (C&C) 伺服器取得要掃瞄的 IP 位址，因此伺服器可以指定指掃瞄本地端 IP 位址範圍，如此就能找到所有附近的 IoT 裝置，然後試著用預設的帳號密碼登入看看。這將導致使用預設密碼的物聯網設備都被感染。

趨勢科技PC-cillin雲端版能有效防範這項威脅，在端點裝置上偵測惡意程式。除此之外，趨勢科技 Home Network Security 家庭網路安全方案可以保護家用路由器這類 IoT 裝置，檢查路由器和所有連線裝置之間的網路流量。企業機構則可採用趨勢科技的Deep Discovery Inspector 網路裝置來監控所有連接埠及 105 種以上的網路通訊協定來偵測進階威脅和針對性攻擊。

趨勢科技採集到的 BKDR_MIRAI.A 樣本共有下列幾種 SHA1 雜湊碼：

• 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e
• F97E8145E1E818F17779A8B136370C24DA67A6A5
• 9575D5EDB955E8E57D5886E1CF93F54F52912238
• 938715263e1e24f3e3d82d72b4e1d2b60ab187b8

TippingPoint 客戶可利用下列 MainlineDV 過濾條件來防範這項威脅：

• 27134: HTTP: BKDR_MIRAI.A Checkin

原文出處：Mirai Widens Distribution with New Trojan that Scans More Ports 作者：Giannina Escueta (技術通訊)

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼