【51CTO.com快譯】2016年9月，著名美國(guó)安全專家Brian Krebs 的博客KrebsOnSecurity.com與法國(guó)網(wǎng)絡(luò)托管企業(yè)OVH遭到了記錄性的DDoS攻擊。2016年10月21日星期五上午，美國(guó)網(wǎng)絡(luò)托管服務(wù)企業(yè)Dyn受到了DDoS攻擊，因此Airbnb、PayPal、Netflix、SoundCloud、Twitter、The New York Times等各大門戶網(wǎng)站均受到持續(xù)性威脅，攻擊者使用了可以讓IoT感染的名為Mirai的惡性代碼。韓國(guó)安博士月刊在2015年10月《IoT與嵌入式Linux惡性代碼》的期刊中提到了以攻擊物聯(lián)網(wǎng)設(shè)備為目標(biāo)的Linux惡性代碼生成與基于嵌入式Linux設(shè)備的安全問題。

本篇文章將會(huì)介紹包括Mirai惡性代碼等在內(nèi)的最近發(fā)生在物聯(lián)網(wǎng)中的惡性代碼。

如今各種操作系統(tǒng)在IoT市場(chǎng)競(jìng)爭(zhēng)激烈，其中嵌入式Linux系統(tǒng)被廣泛使用。我們經(jīng)常接觸的網(wǎng)絡(luò)路由器、機(jī)頂盒、NAS(Network Attached Storage)、數(shù)碼錄像機(jī)、IP照相機(jī)等都使用嵌入式Linux系統(tǒng), 這些系統(tǒng)與臺(tái)式機(jī)相比雖然性能低下，但是與其他IoT產(chǎn)品相比，這些產(chǎn)品的性能最接近計(jì)算機(jī)，所以攻擊者常常會(huì)把這些IoT產(chǎn)品作為首選攻擊目標(biāo)。

以嵌入式Linux系統(tǒng)為攻擊目標(biāo)的惡性代碼在2008年第一次被報(bào)道，早期的嵌入式Linux惡性代碼使用MIPS對(duì)網(wǎng)絡(luò)路由器進(jìn)行感染攻擊，在2012年發(fā)現(xiàn)的Aidra蠕蟲病毒可以對(duì)除了使用MIPS的網(wǎng)絡(luò)路由器以外的其他機(jī)頂盒等多種嵌入式Linux系統(tǒng)環(huán)境進(jìn)行感染。很多嵌入式Linux惡性代碼雖然以DDoS攻擊為主要目標(biāo)，但是在2013年發(fā)現(xiàn)的Darllo惡性代碼主要以挖掘類似電子貨幣或者其他虛擬貨幣為主要目標(biāo)。2014年末，名為L(zhǎng)izard Squad 的組織通過Gafgyt變種升級(jí)進(jìn)行的DDoS攻擊主要對(duì)游戲網(wǎng)站展開攻擊。2016年9月10月，Mirai惡性代碼引起了大規(guī)模的DDoS攻擊，攻擊對(duì)象主要為網(wǎng)絡(luò)路由器DVR(Digital Video Recorder)及IP相機(jī)等物聯(lián)網(wǎng)設(shè)備。

主要嵌入式Linux惡性代碼時(shí)間軸

其中對(duì)特定的物聯(lián)網(wǎng)設(shè)備進(jìn)行感染的惡性代碼不斷進(jìn)行變種升級(jí)，常見的惡性代碼有Aidra、Darlloz、Gafgyt、Mirai、Pnscan等。從這5種惡性代碼發(fā)現(xiàn)的狀況來看，2012年為36個(gè)，2013年為26個(gè)，2014年為348個(gè)，2015年為1180個(gè)，2016年為9125個(gè)。根據(jù)2016年10月31號(hào)截止的統(tǒng)計(jì)報(bào)告顯示，預(yù)計(jì)截止到年末將會(huì)總共發(fā)生超過1萬起惡性代碼攻擊，由此看來從2014年以后，惡性代碼以爆發(fā)性的增加趨勢(shì)肆意傳播。

主要IoT惡性代碼狀況

以下詳細(xì)介紹了五種惡性代碼

■Aidra， Lightaidra

Aidra惡性代碼在2012年2月初首次被發(fā)現(xiàn)，據(jù)推測(cè)該惡性代碼在2011年末完成制作，是最早的物聯(lián)網(wǎng)惡性代碼，現(xiàn)有的嵌入式Linux惡性代碼對(duì)使用MIPS的網(wǎng)絡(luò)路由器進(jìn)行攻擊，這些惡性代碼不僅在MIPS程序中傳播，也在MIPSEL、PowerPC、SuperH等多種程序中傳播。

■Darlloz, Zollard

Darlloz惡性代碼在2013年10月被發(fā)現(xiàn)主要通過物聯(lián)網(wǎng)病毒蠕蟲感染攻擊英特爾×86、MIPS、Arm、PowerPC等系統(tǒng)。其他的惡性代碼一般都是以DDoS的形式進(jìn)行攻擊，此惡性代碼主要以挖掘類似比特幣等虛擬貨幣為主要目標(biāo)。

■Gafgyt

Gafgyt于2014年8月第一次被發(fā)現(xiàn)，特別是2014年末在Lizard Squard(Xbox Live)與PlayStation Network的DDoS攻擊發(fā)生后變得更加有名。2015年1月Gafgyt的源代碼被公開，目前Gafgyt也是存在最多變型的惡性代碼。

■Mirai

Mirai以日語“未來”的發(fā)音而命名，于 2016年5月第一次被發(fā)現(xiàn)。2016年10月初，在公開了其源代碼以后，使用此惡性代碼的變型越來越多。2016年9月對(duì)安全博客實(shí)施了大規(guī)模DDoS攻擊，2016年10月對(duì)Hosting企業(yè)Dyn進(jìn)行了DDos攻擊，隨后Mirai變得更加有名。Mirai惡性代碼具有UDP Flood, Syn Flood, ACK Flood, GRE IP Flood等多種DDos攻擊功能。

■Pnscan

Pnscan惡性代碼于2015年8月被俄羅斯安全公司Dr. Web發(fā)現(xiàn)。此惡性代碼如果將ARM、MIPS、PowerPC系統(tǒng)感染的話就會(huì)對(duì)HNAP(Home Network Administration Protocol)與 CVE-2013-2678的漏洞進(jìn)行攻擊。

目前還沒有針對(duì)基于嵌入式Linux系統(tǒng)的物聯(lián)網(wǎng)產(chǎn)品感染的惡性代碼進(jìn)行診斷和修復(fù)的方法，因?yàn)闆]有相關(guān)的殺毒軟件，即便存在這樣的殺毒軟件如果沒有廠商的幫助的話，此程序是很難進(jìn)行設(shè)置的，因此提前預(yù)防惡性代碼更為重要。首先對(duì)網(wǎng)絡(luò)路由器或者NAS出廠設(shè)置密碼要進(jìn)行及時(shí)更改，新設(shè)置的密碼要由數(shù)字與特殊文字組合起來使用，并周期性進(jìn)行變更。惡性代碼中的Admin, adin1, guest, root, support等的賬號(hào)中主要使用的密碼如下：

安全性低的密碼賬號(hào)

Mirai惡性代碼中包含的密碼文字序列

攻擊者最近不停的尋找網(wǎng)絡(luò)路由器的漏洞，廠商也在不斷進(jìn)行周期性固件升級(jí)更新。物聯(lián)網(wǎng)中不斷的產(chǎn)生其他各種各樣的漏洞，與網(wǎng)絡(luò)連接的設(shè)備都要使用最新的固件并不斷進(jìn)行更新，很多情況下攻擊者都是惡意利用接觸網(wǎng)絡(luò)實(shí)行攻擊的，因此，不是必須的情況應(yīng)該要關(guān)閉外部訪問功能。

2014年以后，嵌入式Linux惡性代碼中引起的DDoS攻擊在很多國(guó)家政府中發(fā)生了各種嚴(yán)重的問題。韓國(guó)未來創(chuàng)造科學(xué)院在2016年9月發(fā)布了《IoT共同安全指南》，該指南以IoT設(shè)備生命周期為基準(zhǔn)，詳細(xì)記錄了15種安全要求事項(xiàng)和技術(shù)·管理注意事項(xiàng)。因此物聯(lián)網(wǎng)設(shè)備制造商應(yīng)該根據(jù)該指南，以及KR-CERT公布的“路由器產(chǎn)品生產(chǎn)以及使用安全向?qū)?rdquo;和OWASP的“IoT安全向?qū)?rdquo;三項(xiàng)來設(shè)計(jì)和生產(chǎn)產(chǎn)品。

另一方面還要加強(qiáng)與網(wǎng)絡(luò)安全公司的合作，不斷探索安全產(chǎn)品，通過輿論宣傳物聯(lián)網(wǎng)存在的危險(xiǎn)性。個(gè)人以及企業(yè)在購(gòu)買物聯(lián)網(wǎng)設(shè)備時(shí)與價(jià)格相比一定要選擇安全性高的產(chǎn)品。

【原標(biāo)題】IoT 환경 위협하는 ‘리눅스 악성코드 Top 5’(作者: 안랩보안전문가)

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】