僵尸网络相信大家都略知一二,简单来说就是通过大规模散播木马程式,从而将受害人的电脑变成攻击方,继而再针对目标位置进行攻击。以往这种方式一直活跃于传统的电脑平台之上,然而传统的电脑由于拥有统一性的平台,例如采用 Windows 或 Mas OS,所以资安厂商均可轻易针对统一的平台开发防御方案,所以攻击及入侵的难度较高!但这几年愈来愈普及的物联网 (IoT )设备却由于欠缺统一的系统,因此资安厂商往往较难针对 IoT 平台开发专用的防御方案,所以近年来骇客针对 IoT 的攻击亦愈加频繁。
僵尸网络指令发送途径
被感染的电脑其实只是安装了一个可以接受远端发出指令 (Command) 的装置,而骇客通过建立 Command and Control (C2) 的方式向受感染的电脑发出指令,从而令受感染的电脑 (僵尸网络) 执行骇客的指令并向特定目标发动攻击。另一个方法是通过采用 P2P 的方式进行传播,通过 P2P 的方式增加传播的速度,从而令更加多的电脑被感染。然而 P2P 方式由于传播上需要提供确切的地址,一般做法就是将这些包含在病毒之中,于是较容易便会被发现。
不过凡事总有例如,如果针对物联网的攻击的话,采用 P2P 的方式进行传播便是有其可取之处,其中近期被发现的新型 Interplanetary Storm 变体便是一例。近日 Barracuda 发表的《焦点报告》,便就针对物联网(IoT)装置的新型Interplanetary Storm (IPStorm)变体发出警示。
操控IPStorm恶意软件的网络犯罪集团现已释出新变体,除影响Windows和Linux系统设备外,现亦针对Mac和Android装置。该恶意软件会制造僵尸网络,研究员估计现时全球大概有84个国家的13,500个系统设备已经遭到感染,而且数目正不断增加。
同时调查亦发现,大部份遭到恶意软件感染的系统设备位于亚洲:
27% 的受感染系统设备在香港
17% 在韩国
15% 在台湾
8% 在俄罗斯和乌克兰
6% 在巴西
5% 在美国和加拿大
3% 在中国
3% 在瑞典
其他国家占 1% 或以下
研究显示香港受感染的设备数目最多。事实上,僵尸网络(僵尸电脑)一直是香港一个主要的网络安全威胁。根据香港电脑保安事故协调中心的《香港保安观察报告》(HKCERT)显示,单在2020年第二季就有5,952宗僵尸网络个案发生。
什么是 Interplanetary Storm?
Interplanetary Storm是一种新型变体,这种新型恶意软件变体与另一种点对点(P2P)的恶意软件FritzFrog相似,都是经由对SSH服务器发动字典攻击(Dictionary Attack)进入系统设备。它亦可以经由开放的Android Debug Bridge (Android 调试桥)服务器取得进入途径。这个恶意软件会侦测受感染系统设备的中央处理器(CPU)结构和操作系统(OS),亦可在常见于路由器和物联网装置上运行的ARM架构(ARM-based) 电子设备。
这个恶意软件被称为Interplanetary Storm,是因为它使用InterPlanetary File System (IPFS) p2p network和隐含libp2p implementation,令受感染的节点直接或经由其他节点接力散播。
Interplanetary Storm 的第一个变体针对Windows 系统设备,于2019年5月被发现。2020年6月又发现了另一个可以攻击Linux 设备的变体。至于今次这个变体,则由Barracuda研究员在8月底首次侦测到,主要目标为物联网装置,例如使用Android操作系统的电视和使用Linux的系统设备,包括设定不当的SSH服务路由器。HKCERT于2019年亦曾发出警告,指网络摄影机为本港最被广泛使用的物联网装置,但很多家用网络摄影机却缺乏安全的设定。
虽然这个恶意软件所建立的僵尸网络还没有清晰的功能,但它为幕后操作者提供进入受感染系统设备的一道后门,令他们往后可进行加密挖矿、分布式拒绝服务攻击(DDoS)或其他大规模的攻击。
IPStorm的新变体使用Go编写,采用Go implementation of libp2p,并且与UPX包装在一起。它使用SSH暴力攻击(brute-force) 和开放的ADB端口进行传播,将恶意软件档案感染网络中其他节点。这个恶意软件更具有反向Shell功能,以及可以运行Bash Shell。
研究人员发现一旦系统设备受到感染,该恶意软件具有多项独特功能使其可继续存在,并提供保护,包括:
- 侦测诱捕系统 (Honeypot) : 这个恶意软件会在默认Shell 提示符(PS1)中搜寻字符串“ svr04”,该字符串曾被Cowrie 诱捕系统使用。
- 进行自动更新:该软件会对比正在运行的版本与最新的版本,并自动更新。
- 使用Go守护程序包 (Go daemon package) 安装服务(系统/系统v)以保持继续存在。
它会消灭在系统设备中对自己构成威胁的其他程式,例如除错器和其他竞争性恶意软件。它会透过寻找命令搜索以下字串来达到目的:
“/data/local/tmp”
“rig”
“xig”
“debug”
“trinity”
“xchecker”
“zypinstall”
“startio”
“startapp”
“synctool”
“ioservice”
“start_”
“com.ufo.miner”
“com.google.android.nfcguard”
“com.example.test”
“com.example.test2”
“saoas”
“skhqwensw”
如何防御这类攻击
以下几项措施可以防御新型变体恶意软件:
在所有装置上正确设定SSH访问权限,例如使用验证码代替密码会更安全。当用户使用密码登入时,恶意软件就可利用设定不当的部份进行攻击。 这是路由器和物联网装置常见的问题,因此很容易成为该恶意软件的目标。
使用云端安全管理工具检测SSH访问权限,以防设定错误导致的灾难性后果。如有需要,则提供额外的外层保障,与其将资源暴露在互联网,不如部署启用MFA的VPN连接,并按特定需要划分网络区隔,而非对IP网络广泛地授予访问权限。
