網路犯罪集團競相建立強大的殭屍網路,藉此爭奪主宰地位,使用者務必了解殭屍網路惡意程式的運作方式以確保自身裝置的安全,避免捲入歹徒的地盤之爭。
殭屍網路(botnet)是由一群感染了惡意程式的裝置 (殭屍) 所組成的網路,駭客會利用這些裝置來發動攻擊或從事其他惡意活動,因此殭屍網路的裝置數量是決定其威力的主要關鍵。物聯網(IoT ,Internet of Thing) 的問世,正好讓殭屍網路駭客集團找到了可征服的全新戰場,但他們在開疆闢土的同時,卻也面臨了其他殭屍網路的競爭。這一場「蠕蟲戰爭」正在默默上演,但不論最後由哪個網路犯罪集團勝出,不知情的使用者永遠是這場戰爭的輸家,憑空失去了裝置的掌控權。
因此,使用者務必了解駭客利用何種工具來建立殭屍網路,以及他們如何將一般 IoT 裝置 (如路由器) 變成殭屍。在我們的研究報告「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭:殭屍網路爭奪 IoT 地盤) 一文中,我們深入剖析了 IoT 殭屍網路的生態。在這篇文章裡,我們分析了三個殭屍網路惡意程式的原始程式碼來說明其主要功能,這些程式碼是許多殭屍網路惡意程式變種的源頭以及後續領土之爭的基礎。
Kaiten
Kaiten (又名 Tsunami) 是三者之中最古老的一個,它採用 IRC通訊協定來與幕後操縱 (C&C) 伺服器通訊,所以被感染的裝置會從某個 IRC 通道接收駭客的指令。Kaiten 的腳本可在多種硬體架構上執行,因此對網路犯罪集團來說用途相當廣泛。此外,Kaiten 近期的變種還會剷除其他惡意程式好讓自己能夠獨占裝置資源。
Qbot
Qbot (又名 Bashlite、Gafgyt、Lizkebab、Torlus) 也是一個相對較老的惡意程式家族,但目前依舊在殭屍網路領域占有一席之地。Qbot 最值得注意的是它的原始程式碼只有幾個檔案。這對才剛開始學習開發殭屍網路的駭客來說有點不易上手,這從網路犯罪論壇上充斥著各種相關的使用教學和指南就可看出端倪。Qbot 的原始程式碼也跟 Kaiten 一樣支援多種架構,但其 C&C 通訊採用的是 TCP 而非 IRC 通訊協定。近期的 Qbot 變種也開始會剷除競爭對手的惡意程式。
Mirai
Mirai 是三者之中最新且相當興盛的家族,目前已衍生不少變種。它最早的開發目的是要當成分散式阻斷服務 (DDoS) 工具來販售。但由於原始程式碼遭到外流,讓 Mirai 一夕之間改變了 IoT 惡意程式的生態。Mirai 初試啼聲便立刻聲名大噪,因為它攻擊了 DNS 服務供應商 Dyn 而使得許多知名網站和服務因而癱瘓。
殭屍網路的攻擊戰術
Kaiten、Qbot 與 Mirai 皆具備了爭奪連網裝置以拓展版圖的能力,為了擴大並維持殭屍網路規模,其惡意程式家族及變種需要盡可能感染越多裝置越好,並且要擊退試圖篡位者。殭屍網路惡意程式會搜尋裝置的漏洞,並利用一些常見駭客技巧 (例如暴力登入) 來試圖掌控裝置。為了鞏固自己的地位,殭屍網路惡意程式會剷除裝置上原本可能已經感染的其他惡意程式,以及其他可能爭奪控制權的入侵者。
前述三個殭屍網路的原始程式碼都具備這些能力,而且由於它們的原始程式碼都是開放的,所以一直不斷有新的變種出現。
對抗 IoT 殭屍網路
殭屍網路隨時可能發展成一支強大的軍隊,例如 Mirai 在 2016 年即癱瘓了多家知名網站 (包括 Netflix、Twitter、Reddit) 以及知名的 Krebs on Security 資安部落格。對一般使用者來說,殭屍網路會霸占使用者用來改善生活、提升便利性的 IoT 裝置與資源,隨著在家工作逐漸變成企業的最新常態,IoT 裝置將扮演更大的角色。
要應付這些彼此爭奪地盤的殭屍網路,最佳的防禦策略就是縮小戰場,讓殭屍網路得不到資源,這樣它們就無法壯大。要確保自己的 IoT 裝置安全無虞,使用者可從幾個步驟下手:
- 妥善管理漏洞,盡早套用修補更新。
漏洞是惡意程式感染裝置的主要途徑,所以若能在廠商一釋出修補更新就立即套用,可有效減少漏洞攻擊的機會。 - 套用安全的組態設定。
使用者務必套用最安全的裝置組態設定以縮小可能遭到駭入的缺口。 - 使用高強度、不易猜測的密碼。
殭屍網路惡意程式經常利用強度不足與常見的密碼來登入裝置。使用者只要換掉預設密碼、改用高強度的密碼就能避免這類問題。
如欲進一步認識前述三大殭屍網路惡意程式家族、網路犯罪地下市場的殭屍網路相關訊息,以及其他確保連網裝置安全的防禦策略,請參閱我們的研究報告「Worm War:The Botnet Battle for IoT Territory」(蠕蟲戰爭:殭屍網路爭奪 IoT 地盤)。
原文出處:Caught in the Crossfire:Defending Devices From Battling Botnets
慶上市! 前100名買就送$700 7-11 禮券,本活動參加者再享 9 折
請至購買頁面,輸入優惠券編號:fb090 (有效期限到2020/12/31 日止)
知道有家裡有多少Wi-Fi裝置嗎?
擔心家裡網路被陌生人入侵嗎?
怕網路攝影機被駭,私密影像被偷拍嗎?
立即手機下載智慧網安管家App(Android 免費健檢;iOS免費健檢)
看看家中是否暗藏網路不速之客!
~若搭配智慧網安管家主機,可完整擁有安全防護、裝置控管和家長防護等功能~