所謂的「IoT 殭屍網路」是由一群物聯網裝置所組成的網路,其中有些裝置是感染了惡意程式 (尤其是 IoT 殭屍網路惡意程式) 而被駭客集團操控的路由器。駭客利用 IoT 殭屍網路的方式之一,就是針對特定機構發動分散式阻斷服務攻擊 (DDoS),進而癱瘓其營運和服務。由於路由器在網路上扮演著關鍵的角色,因此也讓駭客有機會利用 IoT 殭屍網路發動更具破壞性的攻擊。目前地下市場上有許多出售 IoT 殭屍網路的廣告,顯示駭客集團要取得殭屍網路是多麼輕而易舉的事。
殭屍網路的威力大致上取決於它所曾操控的裝置數量。正因如此,這類惡意程式大都是專為不斷感染更多裝置而設計,而且還會清除競爭對手的殭屍網路。
一般來說,殭屍網路的背後是靠一台幕後操縱 (C&C) 伺服器來操控,所有被感染的裝置 (也就是殭屍) 都連上這台伺服器。不過,有些殭屍網路採用點對點 (P2P) 網路的設計,因此不需仰賴 C&C 伺服器,而這也讓這類殭屍網路更加難纏。
目前我們已發現三套 IoT 殭屍網路惡意程式的基礎程式碼 (codebase): Kaiten、Qbot、Mirai,今日多數的 IoT 殭屍網路都是從這些程式碼衍生而來。由於它們都是開放原始碼惡意程式,所以至今已衍生出非常多的變種,而這些變種就構成了今日的 IoT 殭屍網路版圖。
今日 IoT 殭屍網路所帶來的挑戰
從這三大基礎程式碼的普及程度可看出 IoT 殭屍網路在設計上就是會不斷擴大版圖並彼此爭奪那些安全性不足的裝置,儼然已經形成了一場相當激烈的「戰爭」。但對現實世界來說,這場戰爭卻無聲無息,而且使用者渾然不知。
蠕蟲戰爭
IoT 殭屍網路惡意程式家族與變種大多能不斷感染更多裝置,同時還會清除其他殭屍網路。表面上來看,讓 IoT 殭屍網路們自己互相廝殺倒也不錯,但不論最終哪個殭屍網路獲勝,損失最大的還是受感染裝置的使用者。而且這場戰事將不斷延續下去,因為所有 IoT 殭屍網路集團都在打造自己的終極殭屍兵團,使用者很可能在不知情的狀況下成了犧牲品。
無法清除乾淨的感染
如果仔細研究一下 IoT 殭屍網路惡意程式的感染案例,就會發現它們真的非常難以清除。當我們在研究 VPNFilter 殭屍網路惡意程式時就發現,儘管該網路已經在 2018 年遭到破獲並關閉,但仍可發現一些裝置還感染了這個惡意程式。據我們推測,有可能是使用者不曉得自己遭到了感染,或是因為他們不具備裝置管理員的權限而無法自行清除感染。
5個 P2P IoT 殭屍網路惡意程式家族
IoT 殭屍網路其中一項發展趨勢就是將改以 P2P 網路為基礎。正如先前提到,IoT 殭屍網路通常是透過一台 C&C 伺服器來操控。所以,只要將 C&C 伺服器關閉,殭屍網路就失去作用。但若殭屍網路改用 P2P 通訊方式,就無法用這個方式來將它瓦解,因為 P2P 技術讓每一台裝置都能互相通訊而不需依靠一台中央伺服器。
如此一來就變得必須每一台被感染的裝置都清除乾淨才能關閉整個殭屍網路。但由於一個殭屍網路可能動輒包含數千台裝置,所以這將是一項艱難且幾乎不可能的任務。從這個角度來看,P2P 網路等於是讓 IoT 殭屍網路擁有了不死之身。
而且這個情況似乎已經開始成真,目前已出現了五個 P2P IoT 殭屍網路惡意程式家族。
- Wifatch
最早出現於 2014 年的 Wifatch 是第一個具備 P2P 功能的 IoT 惡意程式。它被歸類為「羅賓漢」(Robin Hood) 惡意程式,因為其作者宣稱他設計這款程式的目的是為了保護路由器,用來防範其他那些真正的惡意程式。Wifatch 使用一種以 Perl 程式語言撰寫的客製化簡易 P2P 通訊協定。
- Hajime
Hajime 出現於 2016 年,它一開始常被拿來跟 Mirai 做比較,因為兩者所攻擊的目標裝置有許多重疊。但與 Mirai 不同的是,Hajime 不具備攻擊第三方機構的能力,但具備了 P2P 功能。Hajime 採用 DHT (Distributed Hash Table) 通訊協定,這也是 BitTorrent 分散式檔案系統的各節點之間同步時所用的通訊協定,因此不需中央伺服器。
- Hide 'n' Seek
Hide 'n' Seek (HNS) 在2018 年現身,該年也是它的鼎盛時期。HNS 是利用漏洞來散播,其中有兩個是 IP 監視攝影機的漏洞。所以,HNS 很可能不光只攻擊路由器而已。我們在 2020 年 9 月研究 HNS 時發現它的活動量並不高,顯示其作者和營運者已經放棄該惡意程式。它值得注意的地方是採用了客製化 P2P 通訊協定來讓各節點從網路接收遠端指令。
- Mozi
最早出現於 2019 年的 Mozi 具備大多數現代 IoT 惡意程式的功能。它會用程式內有一份寫死的常見登入憑證清單以及某些漏洞來感染裝置。並採用 DHT 通訊協定來下載並驗證某個組態設定檔案。
- HEH
HEH 最早出現於 2020 年,HEH 擁有現代化惡意程式的特質,是採用目前正夯的 Go 語言所開發。它會用程式內寫死的一份登入憑證清單與密碼來暴力登入裝置。值得注意的是,它會隨機掃描某些 IP 位址來尋找可感染的裝置,並利用演算法從 IP 位址計算出它所使用的 P2P 通訊埠編號。此殭屍網路顯然是專為賺錢而設計,具備攻擊第三方機構的潛力。
資安建議
IoT 殭屍網路的演進正逢企業與家庭網路越來越密不可分的時代。隨著遠距上班成為一種常態,家用裝置 (尤其是路由器) 的安全將變得更加重要,甚至會影響企業的防禦。
企業應採取更主動的態度來協助員工保護自己的家用網路與連網裝置。而使用者也應對當前的 IoT 殭屍網路有所認識,才不會在這場看不到盡頭的蠕蟲大戰當中毫無招架之力,深受清除不盡的感染所苦。
目前,對付 IoT 殭屍網路的最佳策略就是:盡可能減少它們可用的資源,不讓它們有更多安全性不足的裝置可利用。企業和一般使用者可從以下幾個方面著手:
- 做好漏洞管理,盡速套用修補更新。漏洞是惡意程式感染裝置的一項主要途徑,若能在廠商一釋出修補更新就盡速套用,就能降低漏洞遭到攻擊的機會。
- 套用安全的組態設定。使用者務必為裝置套用最安全的組態設定以縮小資安破口。
- 使用高強度不易猜測的密碼。殭屍網路惡意程式會利用一些常見不安全的密碼來試圖登入裝置。使用者只要更換預設密碼並使用較安全的密碼就能防範這項攻擊技巧。
本文轉載自趨勢部落格。