一種針對物聯網(IoT ,Internet of Thing)設備的新惡意軟體 BrickerBot 近日登上媒體,雖然據稱它的攻擊媒介跟 Mirai 類似,但是不同於 Mirai 會將受感染設備變成「Botnet傀儡殭屍網路」電腦,BrickerBot 是所謂「phlashing」(網路刷機) 攻擊的真實案例,這是一種永久阻斷服務攻擊 (簡稱 PDoS),利用硬體裝置的安全漏洞,直接破壞裝置的韌體。
BrickerBot 和 Mirai 及 LuaBot (ELF_LUABOT) 這類專門攻擊 IoT 裝置的惡意程式一樣,會藉由裝置預設的帳號密碼來登入裝置。不過,BrickerBot 卻不像其他攻擊 IoT 裝置的病毒將感染的裝置變成殭屍以建立龐大的殭屍網路,進而發動分散式阻斷服務 (DDos) 攻擊。BrickerBot 會在感染裝置上執行一連串的 Linux 指令,導致感染裝置永久損壞。其中某些指令會毀損或惡意修改裝置儲存容量設定及核心參數、阻礙網際網路連線、影響裝置效能,以及清除裝置上所有檔案。
[延伸閱讀:如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?]
目前已知 BrickerBot 有兩種版本:
BrickerBot.1 版本專門攻擊使用 BusyBox 軟體的 IoT 裝置 (這是一套類似 Unix 工具包的軟體,適用 Linux 和 Android 系統),裝置若開放了 Telnet 或 Secure Shell (SSH) 連線就可能遭到攻擊,後者之所以遭到攻擊是因為採用了舊版的 SSH 伺服器。一些仍在使用舊版韌體的網路裝置最可能遭到此版本的攻擊。
BrickerBot.2 版本專門攻擊開放 Telnet 服務並使用預設 (或寫死) 帳號密碼的 Linux 裝置。第二個版本會利用 TOR 出口節點 (exit node) 來隱藏其行蹤。
根據趨勢科技對 BrickerBot 的長期觀察,該程式還會利用路由器中的遠端程式碼執行漏洞。而初步分析也證實 BrickerBot 的確會使用預設的帳號/密碼組合 (如:「root/root」和「root/vizxv」) 來試圖登入裝置,此外還會隨機寫入裝置的儲存裝置。
[延伸閱讀: 如何保護路由器以防範家用網路攻擊]
去年,由於 Mirai 殭屍病毒的出現,以及它對企業和個人所造成的嚴重災情, IoT 裝置安全成了最迫切的議題。此次 BrickerBot 的現身,反映出 IoT 裝置在網路攻擊當中正逐漸扮演重要角色,因為某些產業的企業已開始慢慢導入這些裝置,例如:製造業和能源產業。就連像一般家用路由器這樣平凡的裝置,一旦被變成殭屍,就會完全聽從駭客的指示攻擊企業、竊取企業資產,或竊取感染裝置上的資料。
