Hajime這個(gè)名字或許沒那么為人熟知，但提及Mirai，很多人都想起了去年十月那次著名的DDOS攻擊。Hajime和Mirai一樣，同樣參與了那場(chǎng)互聯(lián)網(wǎng)攻擊。自研究人員發(fā)現(xiàn)Hajime之日起，這個(gè)惡意程序雖然控制了大量IoT設(shè)備，但未發(fā)動(dòng)過任何DDOS攻擊，因此攻擊者發(fā)起劫持的目的始終不得而知。前兩天還有國外媒體將之說成是危害程度已經(jīng)超越Mirai。

但就在這兩天，事件仿佛出現(xiàn)了轉(zhuǎn)折，Hajime由“黑”轉(zhuǎn)“白”。研究人員認(rèn)為，Hajime設(shè)計(jì)的初衷很可能是充當(dāng)一頂“白帽子”，為人們敲響安全的警鐘，而非發(fā)動(dòng)大規(guī)模DDOS攻擊。

事件回顧

2016年9月30日，一款針對(duì)IoT設(shè)備的惡意程序Mirai在一家在線網(wǎng)站上公布了他的源代碼，攻擊者于當(dāng)年十月利用源代碼對(duì)IoT設(shè)備發(fā)動(dòng)攻擊。曾經(jīng)報(bào)導(dǎo)過，一場(chǎng)由Mirai引起的網(wǎng)絡(luò)攻擊導(dǎo)致美國半個(gè)互聯(lián)網(wǎng)癱瘓。與此同時(shí)還有一種惡意程序也出現(xiàn)了，可能是因?yàn)镸irai風(fēng)頭正勁所以這款惡意程序并不為人所熟悉——即Hajime。當(dāng)時(shí)Rapidity Neteorks的安全研究人員正在尋找Mirai的活動(dòng)蹤跡，卻意外發(fā)現(xiàn)了與之相似的惡意軟件Hajime。

[[189939]]

Hajime為何更加“高級(jí)”?

Hajime與Mirai一樣，旨在攻擊那些防護(hù)薄弱的IoT設(shè)備。但二者有個(gè)關(guān)鍵的區(qū)別——受Mirai影響的設(shè)備采用C&C通訊方式來接收命令，而Hajime則通過P2P網(wǎng)絡(luò)進(jìn)行溝通，由此形成的僵尸網(wǎng)絡(luò)不那么集中，并且更難制止。他們之間另一主要的區(qū)別在于受Hajime影響的是小部分使用ARM芯片結(jié)構(gòu)的IoT設(shè)備，而受Mirai影響的則是使用ARM, MIPS, x86和其他六個(gè)平臺(tái)芯片的設(shè)備。也就是說，這兩種惡意軟件的攻擊對(duì)象并非完全重合，但Hajime在某種程度上對(duì)Mirai的傳播進(jìn)行了遏制。

但影響規(guī)?？氨萂irai的Hajime雖然劫持了大量IoT設(shè)備，卻始終沒有發(fā)起任何攻擊，他的真正目的為何不得而知。但本周事情發(fā)生了轉(zhuǎn)折。安全公司Symantec于當(dāng)?shù)貢r(shí)間本周二，在其官方博客發(fā)布文章稱，Hajime蠕蟲看上去是頂“白帽子”，旨在保護(hù)IoT設(shè)備免遭Mirai和其它惡意軟件的“毒手”。

受Hajime 影響國家Top10(圖片來源：Symantec.com)

Hajime的“洗白”之路

Hajime的某些有趣特性尤為值得一提。線索一，Hajime攜帶了開發(fā)者注入的信息，并將其顯示在劫持的終端上，大約每十分鐘一次這些信息。目前顯示的信息如下：

上述信息是加密簽名的，且該惡意程序僅接收某個(gè)硬編碼key的消息，因此這條信息毫無疑問來自惡意程序作者。

線索二，先前針對(duì)Hajime程序的報(bào)告中提到了Hajime存在的漏洞，以及可檢測(cè)Hajime的簽名。作者似乎仔細(xì)研究了這份報(bào)告，其中提到的所有漏洞都已得到修復(fù)，報(bào)告中提到的簽名也已經(jīng)失效。

而且事實(shí)上，“Hajime”這個(gè)名字并不是程序作者起的——但上述信息中卻用上了Hajime這個(gè)名字。這個(gè)名字是發(fā)現(xiàn)惡意程序的研究人員起的，因?yàn)榕cMirai的相似性，研究人員當(dāng)時(shí)想要以日文對(duì)其命名(Mirai就是日文，“Hajime”在日語中的意思是“開始”)。這意味著程序作者看到了研究者的報(bào)告，并且似乎很喜歡這個(gè)名字。

實(shí)際上，在Hajime安裝到設(shè)備上之后的確有提升設(shè)備安全性的動(dòng)作，它會(huì)關(guān)閉23、7547、5555和5358端口——這些是許多IoT設(shè)備可被利用進(jìn)行攻擊的端口，比如Mirai就針對(duì)其中的某些端口。

神秘的“作者”真的值得信賴嗎?

實(shí)際上，這并非首例用來保護(hù)IoT設(shè)備的設(shè)計(jì)——早在2014/2015年，Linux.Wifatch惡意程序與現(xiàn)如今的Hajime就比較相似。不過這類惡意程序普遍有個(gè)短板，就是其安全效果是比較臨時(shí)的——因?yàn)檫@些“善意程序”針對(duì)IoT系統(tǒng)做出的改變提升安全性僅在RAM中。設(shè)備重啟后又會(huì)重回不安全狀態(tài)。

不過以上面這些證據(jù)就說Hajime作者是白帽子未免武斷。如果真的是個(gè)白帽子，理應(yīng)保護(hù)系統(tǒng)而不是在系統(tǒng)上安裝后門。而且Hajime的模塊化設(shè)計(jì)也意味著，如果作者某一天改變意圖，也的確可以利用感染Hajime的設(shè)備發(fā)動(dòng)大規(guī)模攻擊。同時(shí)，thehackernews對(duì)此表示，以攻擊他人的方式提醒他人進(jìn)行防守并不是一件好事。Hajiem的作者是否會(huì)對(duì)那些遭受劫持的設(shè)備進(jìn)行惡意攻擊也難以保證。