殭屍網路 - 資安趨勢部落格

什麼是殭屍網路(Botnet)?

2018 年 04 月 23 日2018 年 04 月 09 日趨勢科技 TrendMicro

殭屍網路（botnet）是指感染殭屍網路病毒的被劫持電腦/設備所組成的網路，讓駭客可以進行遠端控制。殭屍網路被用來寄送垃圾郵件和進行分散式阻斷服務攻擊(DDoS)攻擊，並且也可以出租給其他網路犯罪分子。殭屍網路也可以在沒有命令和控制（C&C）伺服器的情況下存在，只要透過點對點（P2P）架構和其他管理通道來將命令從一台殭屍電腦（bot）傳到另一台。

一開始，殭屍網路操作者使用IRC客戶端來傳遞指令並進行DDoS攻擊。而近來更多的殭屍網路運作包括挖掘比特幣、攔截正在傳輸的資料、將包含敏感使用者資訊的日誌發送給殭屍網路主人，以及消耗使用者電腦資源。見下圖：繼續閱讀

「捉迷藏（Hide ‘N Seek）」殭屍網路利用點對點基礎設施來入侵物聯網設備

2018 年 02 月 08 日2018 年 02 月 08 日趨勢科技 TrendMicro

攻擊物聯網（IoT ,Internet of Thing）設備的殭屍網路並非新聞也不罕見，惡名昭彰的Mirai可能是最有名的例子。不過有一個被稱為「捉迷藏（Hide ‘N Seek）或NHS」的新殭屍網路似乎是首批（還有Hajime殭屍網路）利用客製化點對點（P2P）通訊作為基礎設施的此類威脅。截至本文發佈時，這殭屍網路已經感染了24,000多設備。

研究人員在一月初首次發現HNS透過類似蠕蟲的機制入侵機器，建立隨機IP地址列表作為目標。中毒設備讓HNS可以執行各種類似P2P協定的命令，包括取出資料、執行程式碼和干擾設備運作。它還能夠透過在Reaper殭屍網路所見過的網頁漏洞攻擊能力來入侵設備。為了防止被別的駭客劫持或感染，HNS也具備多項防篡改的技術。

HNS一個有意思的特點是並沒有其他物聯網殭屍網路的分散式阻斷服務攻擊 (DDoS)功能。但它卻具備一般物聯網殭屍網路不常見的檔案竊取元件，為這殭屍網路加入網路間諜的元素。

跟其他物聯網殭屍網路一樣，HNS缺乏持續性，每次設備重啟都會將其清除。像HNS這樣殭屍網路的特點是能夠快速有效地散播，在短時間內感染數千甚至數百萬台設備。這些殭屍網路也在不斷演進，加入新的功能來更加有效。

幸運的是使用者無需複雜的措施就能夠保護自己對抗物聯網威脅。將設備的預設密碼換成強密碼（最好15個字元以上，包含大小寫、數字和特殊符號），這會讓殭屍網路更難入侵設備。

使用者還應該定期檢查設備任何可用的更新，因為這些更新能夠解決被殭屍網路用來入侵系統或設備的安全缺陷或漏洞問題。

除了上面所提到的最佳實作外，使用者還可以利用像趨勢科技 PC-cillin 2018 雲端版這樣可以在端點層偵測惡意軟體來有效防護物聯網設備威脅的解決方案。連網設備可以利用趨勢科技Home Network Security來受到保護，它會檢查路由器與所有連接設備間的網路通訊。此外，企業也可以透過趨勢科技的Deep Discovery Inspector來監控所有的端口和網路協議以偵測進階威脅並防護針對性攻擊。

@原文出處：“Hide ‘N Seek” Botnet Uses Peer-to-Peer Infrastructure to Compromise IoT Devices

物聯網殭屍網路Satori原始碼,被公開在Pastebin上

2018 年 01 月 09 日2018 年 01 月 08 日趨勢科技 TrendMicro

安全研究人員回報Satori物聯網（IoT ,Internet of Thing）殭屍網路的原始碼已經被放到Pastebin上。去年12月初，Satori在短短12個小時內就影響了28萬個IP地址，讓無數家用路由器成為其殭屍網路的一部分。

Satori（也被稱為Mirai Okiru，趨勢科技偵測為ELF_MIRAI.AUSR），意為日文的“啟蒙”或“覺醒”（“okiru”意為“升起”），被認為是惡名昭彰的Mirai殭屍網路繼承者，同樣地會將路由器殭屍化並攻擊知名網站使其離線。跟Satori一樣，原始的Mirai原始碼也被公開，並且發展出許多新版本。最近在哥倫比亞、厄瓜多、巴拿馬、埃及、突尼西亞和阿根廷都有出現使用Mirai的攻擊。

Satori攻擊了兩個漏洞：

CVE-2017-17215 – 華為家用路由器（Huawei HG532）的漏洞（在2017年11月修補）。對此漏洞的攻擊針對端口37215。
CVE-2014-8361 – Realtek SDK 的UPnP SOAP介面命令注入漏洞（在2015年5月修補）。對此漏洞的攻擊針對端口52869。

趨勢科技的初步觀察顯示，在2017年12月與Satori相關的偵測數量超過170,000筆。Satori相關攻擊出現在歐洲（義大利，法國），北非和中東（突尼西亞，埃及）和南美洲（哥倫比亞，厄瓜多）以及美國和日本。

[延伸閱讀：保護你的路由器對抗Mirai和其他家庭網路攻擊]

隨著物聯網設備在家庭和工作場合的日益普及，以及它們遭受攻擊後所可能帶來的不良影響，Satori已經成為了確切真實的威脅。分散式阻斷服務攻擊 (DDoS)攻擊、網域名稱系統（DNS）變更惡意軟體和數位貨幣挖礦惡意軟體只是使用者和企業所可能面臨的部分威脅。而且物聯網設備也可能發生顯著的效能下降。

以下是讓路由器和網路更能抵禦攻擊的六個最佳實作：繼續閱讀

惡名昭彰Mirai 「物聯網殭屍病毒」新變種,發動逾3.7 萬次攻擊

2017 年 12 月 03 日2017 年 12 月 14 日趨勢科技 TrendMicro

惡名昭彰的「Mirai」物聯網 (IoT) 殭屍網路病毒 (趨勢科技命名為 ELF_MIRAI 家族) 又再度出現在一波新的攻擊行動當中，此次的目標是阿根廷，攻擊的徵兆是連接埠「2323」和「23」流量暴增。隨後，攻擊行動又擴散至南美和北非國家，趨勢科技在哥倫比亞、厄瓜多爾、巴拿馬、埃及、突尼西亞等國偵測到一系列攻擊與大量 Mirai 病毒活動。同時，在阿根廷境內的活動也增加。

針對這最新的第二波攻擊，我們總共蒐集到六個國家的資料。從 UTC 時間 11 月 29 日 2:00 至 11 月 29 日 8:00 這段期間，我們總共偵測到 371,640 次攻擊 (來自 9,000 個左右的非重複 IP 位址)。此波攻擊的主要目標為哥倫比亞，此外，厄瓜多爾、阿根廷、埃及和突尼西亞的情況也類似。唯一的例外是巴拿馬，其受攻擊的時間較晚，數量也較其他國家少。下圖顯示第一波攻擊 (針對阿根廷) 與第二波攻擊 (針對哥倫比亞和巴拿馬) 的攻擊數量比較：

圖 1 和圖 2：第一波和第二波攻擊的時間和數量 (皆為 UTC 時間)。

從上圖可看出清楚的攻擊模式：第一波最早大約是從 11 月 22 日的 16:00 左右開始，一直持續到 11 月 25 日 1:00 左右，攻擊數量才下降至 1,000。第二波最早開始於 11 月 29 日 4:00 左右，與針對阿根廷那一波攻擊不同的是，第二波攻擊的數量分布較為平均。哥倫比亞所承受的攻擊數量最多。這波攻擊第一個高峰出現在 11 月 29 日隨後逐漸消退。緊接著在 12 月 1 日 8:00 至 9:00，又出現第二次高峰，而且創下哥倫比亞單一小時攻擊量最高紀錄 (80,825 次，在 7:00 左右)。繼續閱讀

曾造成大規模網路癱瘓的物聯網殭屍病毒Mirai ,變種如野火蔓延

2017 年 11 月 30 日2017 年 11 月 30 日趨勢科技 TrendMicro

2016年年底，以 Linux 類系統為目標的 Mirai 殭屍病毒造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊，讓我們見識到物聯網有多麼脆弱。最初的 Mirai 殭屍病毒是在 2016 年 8 月發現，專門攻擊採用 Linux 韌體的 IoT 裝置，例如：路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。請參考:專發動 DDoS 攻擊的Mirai 殭屍網路再出擊,用 Windows木馬擴大地盤!

概念證明（PoC）程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。

近日一名安全研究人員據報發現一隻Mirai的新變種（趨勢科技確定屬於ELF_MIRAI病毒家族）正在迅速擴散。在11月底觀察到了端口2323和23的流量顯著地增加，其中約10萬筆不重複的掃描IP來自阿根廷。

被公布在公開漏洞資料庫的概念證明（PoC）漏洞攻擊碼被認為引發了Mirai殭屍網路活動的增加。10月31日公佈漏洞攻擊碼後，這些掃描在11月22日就使用了概念證明（PoC）程式碼。這概念證明（PoC）程式碼會觸發舊 ZyXEL PK5001Z 路由器在今年初被公開的漏洞CVE-2016-10401。繼續閱讀