一種針對物聯網(IoT ,Internet of Thing)設備的新惡意軟體 BrickerBot 近日登上媒體,雖然據稱它的攻擊媒介跟 Mirai 類似,但是不同於 Mirai 會將受感染設備變成「Botnet傀儡殭屍網路」電腦,BrickerBot 是所謂「phlashing」(網路刷機) 攻擊的真實案例,這是一種永久阻斷服務攻擊 (簡稱 PDoS),利用硬體裝置的安全漏洞,直接破壞裝置的韌體。
BrickerBot 和 Mirai 及 LuaBot (ELF_LUABOT) 這類專門攻擊 IoT 裝置的惡意程式一樣,會藉由裝置預設的帳號密碼來登入裝置。不過,BrickerBot 卻不像其他攻擊 IoT 裝置的病毒將感染的裝置變成殭屍以建立龐大的殭屍網路,進而發動分散式阻斷服務 (DDos) 攻擊。BrickerBot 會在感染裝置上執行一連串的 Linux 指令,導致感染裝置永久損壞。其中某些指令會毀損或惡意修改裝置儲存容量設定及核心參數、阻礙網際網路連線、影響裝置效能,以及清除裝置上所有檔案。
[延伸閱讀:如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?]
目前已知 BrickerBot 有兩種版本:
BrickerBot.1 版本專門攻擊使用 BusyBox 軟體的 IoT 裝置 (這是一套類似 Unix 工具包的軟體,適用 Linux 和 Android 系統),裝置若開放了 Telnet 或 Secure Shell (SSH) 連線就可能遭到攻擊,後者之所以遭到攻擊是因為採用了舊版的 SSH 伺服器。一些仍在使用舊版韌體的網路裝置最可能遭到此版本的攻擊。
BrickerBot.2 版本專門攻擊開放 Telnet 服務並使用預設 (或寫死) 帳號密碼的 Linux 裝置。第二個版本會利用 TOR 出口節點 (exit node) 來隱藏其行蹤。
根據趨勢科技對 BrickerBot 的長期觀察,該程式還會利用路由器中的遠端程式碼執行漏洞。而初步分析也證實 BrickerBot 的確會使用預設的帳號/密碼組合 (如:「root/root」和「root/vizxv」) 來試圖登入裝置,此外還會隨機寫入裝置的儲存裝置。
[延伸閱讀: 如何保護路由器以防範家用網路攻擊]
去年,由於 Mirai 殭屍病毒的出現,以及它對企業和個人所造成的嚴重災情, IoT 裝置安全成了最迫切的議題。此次 BrickerBot 的現身,反映出 IoT 裝置在網路攻擊當中正逐漸扮演重要角色,因為某些產業的企業已開始慢慢導入這些裝置,例如:製造業和能源產業。就連像一般家用路由器這樣平凡的裝置,一旦被變成殭屍,就會完全聽從駭客的指示攻擊企業、竊取企業資產,或竊取感染裝置上的資料。
如何防範 BrickerBot
有鑑於 BrickerBot 的破壞性,美國工業控制系統網路緊急應變小組 (Industrial Control Systems Cyber Emergency Response Team,簡稱 ICS-CERT) 特別針對工業控制系統廠商、持有者與操作者發表了一份資安公告 ,建議採取以下防禦措施:
- 盡可能避免所有工業控制系統 (ICS) 裝置連上對外網路/網際網路。
- 啟用防火牆並且將 ICS 裝置與企業網路隔離。
- 當從遠端存取 ICS 裝置時,務必透過虛擬私人網路 (VPN)。
- 定期更新/修補系統,一有更新便立即套用。
- 增加額外的驗證機制,特別是針對系統管理員帳號。
防範 BrickerBot 最有效的方法就是變更並強化裝置預設的帳號密碼,減少裝置遭到不當存取的機會。此外也應考慮停用遠端管理功能,例如像 BrickerBot 會使用的 Telnet。
除此之外,企業和一般使用者也應隨時保持 IoT 裝置韌體更新,以修補駭客可能入侵的漏洞,避免 BrickerBot 將裝置變成磚塊。同時,若能在網路閘道部署入侵防護系統,也可提供一層額外的安全保護,在閘道端偵測並攔截駭客入侵。IT 系統管理員與資安人員更應主動發掘企業網路內的可疑或惡意活動。
不幸的是,有許多 IoT 裝置內建了固定或寫死的帳號密碼、工具及服務,而且無法停用、更新或修補。的確,BrickerBot 對企業和家庭使用者不僅是一記警鐘,而且也點出了 IoT 裝置製造廠商應該負起改善裝置安全的責任。
趨勢科技解決方案:
趨勢科技Deep Security 能防止端點裝置遭到漏洞攻擊的威脅。Deep Discovery能夠偵測、深入分析並主動回應漏洞攻擊以及其他類似威脅,利用特殊的引擎、客製化 沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網路攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測這類攻擊。
TippingPoint 的 整合式進階威脅防護 能提供一些可採取行動的資安情報來防堵漏洞與漏洞攻擊,並防範已知及零時差攻擊。TippingPoint 以 XGen防護為後盾的 Advanced Threat Protection 與 Intrusion Prevention System 結合了深層封包檢查、威脅信譽評等、進階惡意程式分析等技術來攔截攻擊與進階威脅。
TippingPoint 客戶可利用下列 ThreatDV 過濾條件來防範這項威脅:
- 27944: HTTP: ELF_MIRAI.A (BrickerBot) Checkin
Deep Discovery Inspector 客戶可透過以下 DDI 規則來防範這項威脅:
- DDI Rule 3285: MIRAI – HTTP (Request)
趨勢科技的 Smart Home Network Security 智慧家庭網路防護可利用以下偵測規則來防範 BrickerBot,保護消費者:
- 1133255: WEB Remote Command Execution in XML -1
- 1133121: TELNET Default Password Login -14
- 1133598: MALWARE Suspicious IoT Worm TELNET Activity -3
@原文出處:BrickerBot Malware Emerges, Permanently Bricks IoT Devices