Barracuda《焦點報告》: 針對物聯網裝置的新型 Interplanetary Storm 變體
< 香 港 > — 領導業界的雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》,就針對物聯網(IoT)裝置的新型Interplanetary Storm (IPStorm)變體發出警示。
操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變體,除影響Windows和Linux系統設備外,現亦針對Mac和Android裝置。該惡意軟件會製造殭屍網絡,Barracuda研究員估計現時全球大概有84個國家的13,500個系統設備已經遭到感染,而且數目正不斷增加。
大部份遭到惡意軟件感染的系統設備位於亞洲:
27%的受感染系統設備在香港
17%在南韓
15%在台灣
8%在俄羅斯和烏克蘭
6%在巴西
5%在美國和加拿大
3%在中國
3%在瑞典
其他國家佔1%或以下
研究顯示香港受感染的設備數目最多。事實上,殭屍網絡(殭屍電腦)一直是香港一個主要的網絡安全威脅。根據香港電腦保安事故協調中心的《香港保安觀察報告》(HKCERT) [1]顯示,單在2020年第二季就有5,952宗殭屍網絡個案發生。
以下是關於上述威脅的資料、偵測和應變措施。
重點威脅
Interplanetary Storm惡意軟件的新型變體 — 這種新型惡意軟件變體與另一種點對點(P2P)的惡意軟件FritzFrog相似,都是經由對SSH伺服器發動字典攻擊(Dictionary Attack)進入系統設備。它亦可以經由開放的Android Debug Bridge (Android 調試橋)伺服器取得進入途徑。這個惡意軟件會偵測受感染系統設備的中央處理器(CPU)結構和操作系統(OS),亦可在常見於路由器和物聯網裝置上運行的ARM架構(ARM-based) 電子設備。
這個惡意軟件被稱為Interplanetary Storm,是因為它使用InterPlanetary File System (IPFS) p2p network和隱含libp2p implementation,令受感染的節點直接或經由其他節點接力散播。
Interplanetary Storm 的第一個變體針對Windows 系統設備,於2019年5月被發現。2020年6月又發現了另一個可以攻擊Linux 設備的變體。至於今次這個變體,則由Barracuda研究員在8月底首次偵測到,主要目標為物聯網裝置,例如使用Android操作系統的電視和使用Linux的系統設備,包括設定不當的SSH服務路由器。HKCERT於2019年亦曾發出警告,指網絡攝影機為本港最被廣泛使用的物聯網裝置,但很多家用網絡攝影機卻缺乏安全的設定[2]。
雖然這個惡意軟件所建立的殭屍網絡還沒有清晰的功能,但它為幕後操作者提供進入受感染系統設備的一道後門,令他們往後可進行加密挖礦、分布式拒絕服務攻擊(DDoS)或其他大規模的攻擊。
詳情
IPStorm的新變體使用Go編寫,採用Go implementation of libp2p,並且與UPX包裝在一起。它使用SSH暴力攻擊(brute-force) 和開放的ADB端口進行傳播,將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向Shell功能,以及可以運行Bash Shell。
Barracuda 研究人員發現一旦系統設備受到感染,該惡意軟件具有多項獨特功能使其可繼續存在,並提供保護。
偵測誘捕系統 (Honeypot)——這個惡意軟件會在預設Shell 提示符(PS1)中搜尋字符串“ svr04”,該字符串曾被Cowrie 誘捕系統使用。
進行自動更新 —— 該軟件會對比正在運行的版本與最新的版本,並自動更新。
使用Go守護程序包 (Go daemon package) 安裝服務(系統/系統v)以保持繼續存在。
它會消滅在系統設備中對自己構成威脅的其他程式,例如除錯器和其他競爭性惡意軟件。它會透過尋找命令搜索以下字串來達到目的:
"/data/local/tmp"
"rig"
"xig"
"debug"
"trinity"
"xchecker"
"zypinstall"
"startio"
"startapp"
"synctool"
"ioservice"
"start_"
"com.ufo.miner"
"com.google.android.nfcguard"
"com.example.test"
"com.example.test2"
"saoas"
"skhqwensw"
有關詳細,請參閱結尾的附錄。
如何防禦這類攻擊
以下幾項措施可以防禦新型變體惡意軟件:
在所有裝置上正確設定SSH訪問權限,例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時,惡意軟件就可利用設定不當的部份進行攻擊。 這是路由器和物聯網裝置常見的問題,因此很容易成為該惡意軟件的目標。
使用雲端安全管理工具檢測SSH訪問權限,以防設定錯誤導致的災難性後果。如有需要,則提供額外的外層保障,與其將資源暴露在互聯網,不如部署啟用MFA的VPN連接,並按特定需要劃分網絡區隔,而非對IP網絡廣泛地授予訪問權限。
有關報告詳情,可於https://blog.barracuda.com/2020/10/01/threat-spotlight-new-interplanetary-storm-variant-iot/下載。
( 內容由有關方面代表提供 )
