對許多物聯網(IoT ,Internet of Thing)使用者來說,裝置端口遭受攻擊一直是個問題。特別是TCP端口5555,因為廠商的預設開啟而在過去帶來許多問題,讓使用戶暴露在攻擊之下。
趨勢科技最近在7月9日至10日及7月15日偵測到兩個可疑的活動高峰,發現了使用端口5555的新漏洞攻擊。這一次攻擊利用了Android Debug Bridge(ADB)命令列工具,這個Android SDK工具可以用來處理裝置間的通訊,也讓開發人員可以在Android裝置上執行和除錯應用程式。我們的資料顯示第一波主要出現在中國和美國,而第二波主要是韓國。
圖1、7月1日至7月15日間TCP端口5555的活動資料。注意到7月9日和10日出現的高峰及7月15日的第二次高峰
安全研究人員回報Satori物聯網(IoT ,Internet of Thing)殭屍網路的原始碼已經被放到Pastebin上。去年12月初,Satori在短短12個小時內就影響了28萬個IP地址,讓無數家用路由器成為其殭屍網路的一部分。
Satori(也被稱為Mirai Okiru,趨勢科技偵測為ELF_MIRAI.AUSR),意為日文的“啟蒙”或“覺醒”(“okiru”意為“升起”),被認為是惡名昭彰的Mirai殭屍網路繼承者,同樣地會將路由器殭屍化並攻擊知名網站使其離線。跟Satori一樣,原始的Mirai原始碼也被公開,並且發展出許多新版本。最近在哥倫比亞、厄瓜多、巴拿馬、埃及、突尼西亞和阿根廷都有出現使用Mirai的攻擊。
Satori攻擊了兩個漏洞:
趨勢科技的初步觀察顯示,在2017年12月與Satori相關的偵測數量超過170,000筆。Satori相關攻擊出現在歐洲(義大利,法國),北非和中東(突尼西亞,埃及)和南美洲(哥倫比亞,厄瓜多)以及美國和日本。
[延伸閱讀:保護你的路由器對抗Mirai和其他家庭網路攻擊]
隨著物聯網設備在家庭和工作場合的日益普及,以及它們遭受攻擊後所可能帶來的不良影響,Satori已經成為了確切真實的威脅。分散式阻斷服務攻擊 (DDoS)攻擊、網域名稱系統(DNS)變更惡意軟體和數位貨幣挖礦惡意軟體只是使用者和企業所可能面臨的部分威脅。而且物聯網設備也可能發生顯著的效能下降。