物聯網(IoT)安全:與 VPNFilte 類似的 Torii 物聯網殭屍網路(botnet)現身

美國聯邦調查局(FBI)在五月下旬公開警告關於針對家用和辦公室路由器及網路設備的網路攻擊。罪魁禍首:VPNFilter(趨勢科技偵測為Trojan.Linux.VPNFILT.AA),據報導影響了至少 54 個國家/地區超過50萬台的路由器。

VPNFilter是隻多階段和模組化的惡意軟體,可以竊取和收集資料、攔截或封鎖網路流量、監控資料採集與監控系統(SCADA)協定,並且讓受感染的路由器無法運作。

[來自 TrendLabs 資安趨勢部落格:受 VPNFilter 影響的設備還有著19個漏洞]

 

幸運的是,FBI成功地拿下VPNFilter所使用的網域/命令和控制(C&C)伺服器。安全研究人員在最近進一步分析了 VPNFilter 的額外模組,這些模組可能會被用於未來的攻擊:

  • htpx重新導向和檢查經過受感染設備的未加密流量。
  • ndbr啟用對設備的遠端連線,將其轉變成SSH客戶端或伺服器,並透過SSH使用SCP協定來傳輸檔案。它還會執行一個開放原始碼掃描程式來識別網路上的主機和服務。
  • nm通過網路拓樸和端口掃描工具來進行偵察;並搜尋特定型號路由器來進行攻擊。
  • netfilter透過封鎖與某些服務和應用程式相關的IP地址來進行阻斷服務攻擊
  • portforwarding將受攻擊設備的流量導向攻擊者指定的網路。
  • socks5proxy將受感染設備轉變成VPN伺服器,讓攻擊者可以用來進行自己的網路活動。
  • tcpvpn啟用對受感染內部網路設備的遠端連線,然後可以用它來傳出資料和進行遠端C&C連線。

 

VPNFilter攻擊許多型號和品牌路由器及NAS設備的各種漏洞。趨勢科技的研究還顯示出這些設備(包括網路攝影機和印表機)不僅可能遭受VPNFilter攻擊,而且還帶有其他公開的已知安全漏洞,可能會遭受如遠端程式碼執行、命令注入和資料外洩等攻擊。

[延伸閱讀:2017年最值得注意的家庭網路威脅]

 

9月下旬,Torii 物聯網殭屍網路(botnet)使用Tor進行攻擊

VPNFilter只是最近一連串的物聯網威脅之一。在9月下旬,安全研究人員還發現一個新的物聯網殭屍網路(botnet),他們根據其使用Tor進行攻擊來將它命名為Torii(日文的鳥居)。

到目前為止,Torii還沒有出現像Mirai及其分支GafgytSatoriReaper等殭屍網路的常見行為,例如分散式阻斷服務攻擊 (DDoS)和虛擬貨幣挖礦。但Torii可以洩露資料、傳輸檔案、執行程式碼和刪除檔案。

[延伸閱讀:超過20萬台MikroTik路由器遭受挖礦劫持攻擊]

 

跟 VPNFilter 類似,它具有模組化的架構,透過加密層取得和執行可執行檔和命令。Torii可以感染x86_64、x86、ARM、MIPS、PowerPC(PPC)、SuperH和Motorola 68k架構的設備。 Torii具備雙管齊下的感染鍊及反分析技術(像是,會睡眠60秒,隨機命名其程序)。

[最佳實作:保護你的路由器對抗Mirai及其他家庭網路攻擊]

 

因為家庭和工作場所內萬物聯網(IoT ,Internet of Thing設備的大量存在,它們遭受漏洞的相對容易性以及明顯會帶來的深遠影響都在在令人感到害怕。

雖然沒有萬靈丹可以保護它們,但採用最佳實作有助於降低風險:保持設備及韌體更新,加強設備密碼,盡可能避免使用不安全的無線網路,並且要警惕可疑、不請自來的網址或附件,它們可能會導致感染惡意軟體。製造商和品牌廠商也在保護物聯網生態系安全性方面扮演至關重要的角色

企業可用趨勢科技的Deep Discovery Inspector來監控所有端口和網路協定以偵測進階威脅並阻止針對性攻擊。

 

@原文出處:Internet-of-Things (IoT) Security: Developments in VPNFilter and Emergence of Torii Botnet