P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要



本文探討物聯網殭屍網路(botnet)加入P2P技術後,如何變成企業和一般用戶需要提高警覺的更強大威脅。
P2P物聯網殭屍網路因為缺乏可關閉的中央伺服器,造就可能無法消滅的殭屍網路,可能會從根本上改變物聯網惡意軟體。

物聯網(IoT ,Internet of Thing為殭屍網路開發者創造競爭和發展的新領域。它們現在已經會在持續感染受害者時彼此爭奪裝置的控制權。而知名的檔案共享技術 – 點對點(P2P)網路的加入可能會讓事情變得更加複雜。

P2P物聯網殭屍網路興起,使得保護家用路由器與防護桌機/筆電一樣重要

典型的物聯網殭屍網路由連到命令與控制(C&C)伺服器的眾多受感染裝置(bot)組成,網路犯罪份子由此來運作整個殭屍網路。這代表關閉C&C伺服器會讓殭屍網路無法運作,不管它由多少裝置組成。而引入P2P網路技術將會讓此作法失效。

因為P2P網路允許電腦相互連接而無需中央伺服器。在實作中,這代表如果要關閉P2P物聯網殭屍網路,防守方將不得不清理每個受感染的裝置 – 這是件繁瑣且幾乎不可能完成的任務,因為通常一般殭屍網路會達到數千台以上的裝置。

我們在技術簡報裡討論了過去出現過的五個P2P物聯網殭屍網路,同時比較了Windows和物聯網環境間將P2P網路技術用於開發惡意軟體的速度。在此我們會討論P2P物聯網殭屍網路的含義及網路犯罪分子會如何繼續來利用此種威脅。

網路犯罪分子不只是將路由器作為連網的裝置


你可能會有疑問:既然P2P物聯網殭屍網路提供這麼好的方法讓殭屍網路能夠長時間存活,為什麼只有五個?讓我們先來分析一下物聯網殭屍網路的目的到底是什麼。

貨幣化是預測P2P物聯網殭屍網路發展的關鍵。駭客需要找到可以賺錢的方法才會繼續開發和實作更複雜的殭屍網路。而今日物聯網殭屍網路常見的賺錢方式是加入第三方攻擊(以分散式阻斷服務分散式阻斷服務攻擊HYPERLINK “http://blog.trendmicro.com.tw/?p=16497” (DDoS)想讓P2P物聯網殭屍網路流行,網路犯罪份子需要找到更好的方法來貨幣化這些受感染的路由器。我們推測網路犯罪分子將把重點轉移到從受感染路由器的網路賺錢,而不只是將路由器作為連網的裝置。

物聯網殭屍網路的主要目標是家庭網路的入口:家用路由器


物聯網殭屍網路的主要目標是家用路由器。路由器之所以是個好目標是因為它是進入家庭網路的入口。感染路由器可以讓駭客進行更加破壞性的活動,例如中間人(MitM)攻擊和資料竊取。駭客也可以將惡意元素注入回傳流量。

一旦將重點放在分析和破壞受感染路由器的流量,可能性就變得無窮無盡。受感染路由器讓駭客可以透過重寫網頁來進行基於JavaScript的虛擬貨幣挖礦( coinmining )點擊詐騙。此外,駭客也可以出售受感染桌面和被竊資料,找到更多方式從路由器惡意軟體獲利。

例如,路由器還可以成為駭客橫向移動到其他不安全裝置的跳板。通過這樣利用路由器的方式,攻擊者就不需要攔截流量來進行橫向移動,也不需要去處理TLS加密。這樣的作法與現代勒索病毒Ransomware「進階持續性滲透攻擊」Advanced Persistent Threat)入侵是有些符合的。

透過橫向移動,駭客就不需要在感染路由器和感染單一電腦間作選擇。被入侵路由器能夠讓攻擊者接管網路內其他安全性較差的裝置,包括電腦。

殭屍網路惡意軟體需要攔截網路內部的流量,並將惡意元素注入返回網頁。從技術角度來看,這需要篡改路由器的協議堆疊(protocol stack),儘管很棘手卻可以做到。駭客也可以選擇查看使用者存取網頁日誌以獲取他們所擁有的重要資訊,這比篡改路由器的協議堆疊要容易得多。

遠端工作已成常態,駭客可能會選擇攻擊安全性較低的家庭網路和路由器,以此來進入更有價值的目標


P2P網路讓我們看到物聯網殭屍網路如何進一步發展成為真正可怕的威脅。這建立在我們之前對該主題的研究基礎上。在我們的報告「蠕蟲戰爭:物聯網領域的殭屍網路之戰」中,我們仔細研究了當今大多數物聯網殭屍網路惡意軟體的程式庫。更重要的是,我們展示了活躍的殭屍網路開發者如何在不安全裝置上相互競爭。與此同時,我們對VPNFilter的案例研究強調了感染為何無法真正被清除,因為它們仍可以某種方式存在於裝置中並帶來風險,即便背後的運營者早已被關閉。

從之前的這些研究中,我們看到了物聯網殭屍網路帶來的挑戰。P2P物聯網殭屍網路因為缺乏可關閉的中央伺服器,造就可能無法消滅的殭屍網路,讓這挑戰變得更加困難。這裡所討論的貨幣化技術加上無法清除跟無法消滅的殭屍網路,可能會從根本上改變物聯網惡意軟體。

儘管這些攻擊大多數集中在家用路由器或家用裝置,但企業應該不難看出其與自身安全的相關性。當遠端工作如今已成為常態,區分家庭網路與企業網路的界線已經變得更加困難,因此消費者攻擊與企業攻擊間的界線也變得模糊。駭客可能會選擇攻擊一般來說安全性較低的家庭網路和路由器,以此來進入更有價值的目標。

保護路由器與防護桌機或筆記型電腦一樣重要

前面所提到的預想場景可能永遠不會發生,但能夠確定的是,P2P物聯網殭屍網路已經存在,並且對企業和家庭使用者都構成了真正的危險。企業和個人都需要轉變觀念,了解到保護路由器與防護桌機或筆記型電腦一樣重要。

企業和家庭使用者在短期內該怎麼做?他們該如何防止路由器受到感染?可以從下列步驟做起:

  • 管理漏洞並儘快更新修補程式。修補程式發布後立即更新可以抑制潛在漏洞攻擊的機會。
  • 採用安全設定。使用者必須確保自己的裝置使用最安全的設定,減少可被入侵的可能。
  • 使用難以被猜到的強密碼。使用者可以透過變更預設密碼和使用強密碼來避免被暴力破解。

@原文出處:The Future of P2P IoT Botnets 作者:Mayra Rosario Fuentes、Stephen Hilt、Robert McArdle、Fernando Merces、David Sancho