什麼是 IoT 殭屍網路?


所謂的「IoT 殭屍網路」是由一群物聯網(IoT ,Internet of Thing)裝置所組成的網路,其中有些裝置是感染了惡意程式 (尤其是 IoT 殭屍網路惡意程式) 而被駭客集團操控的路由器。駭客利用 IoT 殭屍網路的方式之一,就是針對特定機構發動分散式阻斷服務攻擊 (DDoS),進而癱瘓其營運和服務。由於路由器在網路上扮演著關鍵的角色,因此也讓駭客有機會利用 IoT 殭屍網路發動更具破壞性的攻擊。目前地下市場上有許多出售 IoT 殭屍網路的廣告,顯示駭客集團要取得殭屍網路是多麼輕而易舉的事。

殭屍網路的威力大致上取決於它所曾操控的裝置數量。正因如此,這類惡意程式大都是專為不斷感染更多裝置而設計,而且還會清除競爭對手的殭屍網路。

一般來說,殭屍網路的背後是靠一台幕後操縱 (C&C) 伺服器來操控,所有被感染的裝置 (也就是殭屍) 都連上這台伺服器。不過,有些殭屍網路採用點對點 (P2P) 網路的設計,因此不需仰賴 C&C 伺服器,而這也讓這類殭屍網路更加難纏。

延伸閱讀: P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要

IoT 殭屍網路惡意程式基礎程式碼


目前我們已發現三套 IoT 殭屍網路惡意程式的基礎程式碼 (codebase),今日多數的 IoT 殭屍網路都是從這些程式碼衍生而來。這三套基礎程式碼之間都有一些共同的特質,我們可藉此觀察 IoT 殭屍網路的實際樣貌以及它們的運作方式。由於它們都是開放原始碼惡意程式,所以至今已衍生出非常多的變種,而這些變種就構成了今日的 IoT 殭屍網路版圖。


Kaiten


Kaiten (亦稱為 Tsunami,海嘯) 可說是這三套基礎程式碼當中最鮮為人知的一套。但這套程式碼從2001 年便已成為開放原始碼,因此仍相當受到駭客集團與初階駭客喜愛。Kaiten 是以暴力登入 Telnet 服務的方式散布,其最新的變種具備清除其他殭屍網路的功能,會將裝置上已經感染的其他殭屍網路清除。


Qbot


Qbot 雖然比 Kaiten 新一點,但也是個歷史久遠的 IoT 殭屍網路惡意程式。它最早出現於 2008 年,至今仍受駭客集團歡迎,也出現了許多其他的稱號,例如:Bashlite、Gafgyt、Lizkebab 或 Torlus。如同 Kaiten 一樣,Qbot 的變種也具備清除殭屍網路的功能,會將裝置上的其他殭屍網路惡意程式移除。


Mirai


Mirai 是三套基礎程式碼當中最普遍、也最廣為人知的一套。它最早出現於 2016 年,因癱瘓了各種大型網站和網路服務而聲名大噪。它一開始就被設計成一套專門用來販售的 DDoS 工具,並以遊戲玩家為攻擊目標。有些 Mirai 變種會清除裝置上已經感染的殭屍網路,好讓它能獨占裝置上的資源。

我們在一份名為「蠕蟲戰爭:殭屍網路爭奪 IoT 領土」(Worm War: The Botnet Battle for IoT Territory) 的報告中對這三套 IoT 殭屍網路基礎程式碼有詳盡的介紹。

蠕蟲戰爭:殭屍網路爭奪 IoT 領土
在這場蠕蟲戰爭當中,駭客集團競相擴大自己的 IoT 殭屍網路版圖。這份報告詳細分析了這場戰爭與今日殭屍網路背後的基礎程式碼,以及駭客集團如何利用其殭屍網路來賺錢。


今日 IoT 殭屍網路所帶來的挑戰


從這三大基礎程式碼的普及程度可看出 IoT 殭屍網路在設計上就是會不斷擴大版圖並彼此爭奪那些安全性不足的裝置,儼然已經形成了一場相當激烈的「戰爭」。但對現實世界來說,這場戰爭卻無聲無息,而且使用者渾然不知。今日 IoT 殭屍網路所帶來的風險,有許多都是因為使用者未注意到自己的裝置已遭感染,或是沒有能力清除這些感染,才讓它們能夠持續橫行。


蠕蟲戰爭

IoT 殭屍網路惡意程式家族與變種大多能不斷感染更多裝置,同時還會清除其他殭屍網路。表面上來看,讓 IoT 殭屍網路們自己互相廝殺倒也不錯,但不論最終哪個殭屍網路獲勝,損失最大的還是受感染裝置的使用者。而且這場戰事將不斷延續下去,因為所有 IoT 殭屍網路集團都在打造自己的終極殭屍兵團,使用者很可能在不知情的狀況下成了犧牲品。


無法清除乾淨的感染

如果仔細研究一下 IoT 殭屍網路惡意程式的感染案例,就會發現它們真的非常難以清除。當我們在研究 VPNFilter 殭屍網路惡意程式時就發現,儘管該網路已經在 2018 年遭到破獲並關閉,但仍可發現一些裝置還感染了這個惡意程式。據我們推測,有可能是使用者不曉得自己遭到了感染,或是因為他們不具備裝置管理員的權限而無法自行清除感染。

Breakdown of the remaining VPNFilter infections by country
圖 1:VPNFilter 殘留感染案例分布國家。

VPNFilter 事件滿兩週年:仍有路由器在感染中
基本上 VPNFilter 在 2018 年就已遭到破獲,這篇部落格重新檢視了一下這個惡意程式,並試圖探討為何仍有一些路由器仍在感染當中,以及該如何防範這類情況所帶來的風險。


IoT 殭屍網路的未來演進


很不幸的,IoT 的持續發展與普及,將使得 IoT 殭屍網路有更大的發展空間。在未來幾年、甚至幾十年之內,IoT 殭屍網路都將繼續在威脅版圖占有一席之地,並且演變成更加難纏的威脅。

其中一項發展趨勢就是 IoT 殭屍網路將改以 P2P 網路為基礎。正如先前提到,IoT 殭屍網路通常是透過一台 C&C 伺服器來操控。所以,只要將 C&C 伺服器關閉,殭屍網路就失去作用。但若殭屍網路改用 P2P 通訊方式,就無法用這個方式來將它瓦解,因為 P2P 技術讓每一台裝置都能互相通訊而不需依靠一台中央伺服器。

如此一來就變得必須每一台被感染的裝置都清除乾淨才能關閉整個殭屍網路。但由於一個殭屍網路可能動輒包含數千台裝置,所以這將是一項艱難且幾乎不可能的任務。從這個角度來看,P2P 網路等於是讓 IoT 殭屍網路擁有了不死之身。

而且這個情況似乎已經開始成真,目前已出現了五個 P2P IoT 殭屍網路惡意程式家族。


Wifatch

最早出現於 2014 年的 Wifatch 是第一個具備 P2P 功能的 IoT 惡意程式。它被歸類為「羅賓漢」(Robin Hood) 惡意程式,因為其作者宣稱他設計這款程式的目的是為了保護路由器,用來防範其他那些真正的惡意程式。Wifatch 使用一種以 Perl 程式語言撰寫的客製化簡易 P2P 通訊協定。


Hajime

Hajime 出現於 2016 年,它一開始常被拿來跟 Mirai 做比較,因為兩者所攻擊的目標裝置有許多重疊。但與 Mirai 不同的是,Hajime 不具備攻擊第三方機構的能力,但具備了 P2P 功能。Hajime 採用 DHT (Distributed Hash Table) 通訊協定,這也是 BitTorrent 分散式檔案系統的各節點之間同步時所用的通訊協定,因此不需中央伺服器。


Hide nSeek

Hide ‘n’ Seek (HNS) 在2018 年現身,該年也是它的鼎盛時期。HNS 是利用漏洞來散播,其中有兩個是 IP 監視攝影機的漏洞。所以,HNS 很可能不光只攻擊路由器而已。我們在 2020 年 9 月研究 HNS 時發現它的活動量並不高,顯示其作者和營運者已經放棄該惡意程式。它值得注意的地方是採用了客製化 P2P 通訊協定來讓各節點從網路接收遠端指令。


Mozi

最早出現於 2019 年的 Mozi 具備大多數現代 IoT 惡意程式的功能。它會用程式內有一份寫死的常見登入憑證清單以及某些漏洞來感染裝置。並採用 DHT 通訊協定來下載並驗證某個組態設定檔案。


HEH

HEH 最早出現於 2020 年,HEH 擁有現代化惡意程式的特質,是採用目前正夯的 Go 語言所開發。它會用程式內寫死的一份登入憑證清單與密碼來暴力登入裝置。值得注意的是,它會隨機掃描某些 IP 位址來尋找可感染的裝置,並利用演算法從 IP 位址計算出它所使用的 P2P 通訊埠編號。此殭屍網路顯然是專為賺錢而設計,具備攻擊第三方機構的潛力。


展望未來

A comparison of the development of P2P malware in Windows and IoT environments
圖 2:Windows 與 IoT 環境的 P2P 惡意程式比較。

新的 P2P IoT 殭屍網路惡意程式家族出現的頻率,大概每一兩年一次。事實上,IoT 環境的 P2P 惡意程式演進速度比 Windows 環境快上許多。其中,Mozi 和 HEH 這兩個最新的家族似乎真的是為犯罪用途而設計。

目前 P2P IoT 殭屍網路家族只有五個,看似不多,但未來若駭客集團能找到賺錢的方式,他們會繼續開發設計出更複雜的 P2P IoT 殭屍網路惡意程式。目前我們看到的一個可能發展方向是,駭客集團會將重心擺在利用受害路由器所在的網路來賺錢,而非路由器本身。

在一篇名為「P2P IoT 殭屍網路的未來」(The Future of P2P IoT Botnets) 的部落格當中,我們對 P2P IoT 殭屍網路與 IoT 殭屍網路的未來都有更多的分析。針對前述五大 P2P IoT 殭屍網路惡意程式家族提供更多技術面的分析。

P2P IoT 殭屍網路的未來
P2P 網路功能的加入,將撤底改變 IoT 殭屍網路,帶來更大的威脅,企業和一般使用者必須預先做好準備。本文探討 P2P IoT 殭屍網路的技術層面與其未來的發展性。


資安建議


IoT 殭屍網路的演進正逢企業與家庭網路越來越密不可分的時代。隨著遠距上班成為一種常態,家用裝置 (尤其是路由器) 的安全將變得更加重要,甚至會影響企業的防禦。

企業應採取更主動的態度來協助員工保護自己的家用網路與連網裝置。而使用者也應對當前的 IoT 殭屍網路有所認識,才不會在這場看不到盡頭的蠕蟲大戰當中毫無招架之力,深受清除不盡的感染所苦。

在可預見的未來,IoT 殭屍網路將是企業和家庭使用者都必須面對的一項威脅。目前,對付 IoT 殭屍網路的最佳策略就是:盡可能減少它們可用的資源,不讓它們有更多安全性不足的裝置可利用。企業和一般使用者可從以下幾個方面著手:

  • 做好漏洞管理,盡速套用修補更新。漏洞是惡意程式感染裝置的一項主要途徑,若能在廠商一釋出修補更新就盡速套用,就能降低漏洞遭到攻擊的機會。
  • 套用安全的組態設定。使用者務必為裝置套用最安全的組態設定以縮小資安破口。
  • 使用高強度不易猜測的密碼。殭屍網路惡意程式會利用一些常見不安全的密碼來試圖登入裝置。使用者只要更換預設密碼並使用較安全的密碼就能防範這項攻擊技巧。

原文出處:What is an IoT botnet?