2016年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。請參考:專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!
近日一名安全研究人員據報發現一隻Mirai的新變種(趨勢科技確定屬於ELF_MIRAI病毒家族)正在迅速擴散。在11月底觀察到了端口2323和23的流量顯著地增加,其中約10萬筆不重複的掃描IP來自阿根廷。
被公布在公開漏洞資料庫的概念證明(PoC)漏洞攻擊碼被認為引發了Mirai殭屍網路活動的增加。10月31日公佈漏洞攻擊碼後,這些掃描在11月22日就使用了概念證明(PoC)程式碼。這概念證明(PoC)程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。
攻擊者發現有大量的舊 ZyXEL 設備使用預設admin/CenturyL1nk和admin/QwestM0dem作為Telnet帳號密碼。這些 ZyXEL 設備是由美國網路服務商CenturyLink和Qwest提供的數據機路由器。ZyXEL PK5001Z路由器內寫死了超級用戶密碼(zyad5001),讓使用者可以連線取得root權限和安裝DDoS惡意軟體。根據這名研究人員所說,對admin/CenturyL1nk和admin/QwestM0dem的濫用大約在2017-11-22 11:00左右開始,並在第二天達到高峰。大約在60個小時前,發現了對端口2323和23的大量掃描流量,隨後的調查指出這是因為新 Mirai 變種活動造成。掃描IP據說來自當地網路服務商Telefonica de Argentina的網路。
在2016年,Mirai 將有漏洞的連網設備(包括路由器、監視攝影機、數位錄影機等)轉變成攻擊性的殭屍網路來發動大規模攻擊而獲得惡名。它在今年2月再次成為新聞,因為有Windows木馬會幫它找出潛在受害者並擴大其散播。變種被用在對Netflix、Reddit、Twitter和Airbnb等主要網站的攻擊中,還有來自Deutsche Telekom的90萬台家庭路由器。
解決方案和緩解措施
如果威脅沒有解除,受到Mirai影響的企業將不得不面對業務中斷、金錢損失甚或是品牌商譽的損害。路由器廠商應該要確保自己的產品足夠安全來抵禦攻擊。這些最佳實作可以減輕這類威脅所帶來的風險。
此外,趨勢科技的安全解決方案和趨勢科技 PC-cillin 2018 雲端版也能夠針對此威脅提供有效的保護,提供在端點層級偵測惡意軟體的安全功能。為了保護家庭路由器等物聯網設備,趨勢科技的Home Network Security可以檢查路由器與所有連接設備間的網路流量。企業可以使用趨勢科技的 Deep Discovery Inspector,這是能夠監控所有端口和超過105種不同網路協定來發現進階威脅和針對性攻擊的網路設備。
趨勢科技 Smart Protection Suites 客戶可以用以下規則來防護此威脅:
- 1134267 TELNET Default Password Login -21
- 1134268 TELNET Default Password Login -22
- 1133148 MALWARE Suspicious IoT Worm TELNET Activity -1
- 1133480 EXPLOIT Remote Command Execution via Shell Script -2
- 1133796 TELNET Default Credential Login Attempt -1