物聯網示意圖(Photo by Glass Lamp on https://www.flickr.com/photos/154328585@N03/40827731595/in/photostream/)

安全公司趨勢科技發現一隻Mirai病毒變種,會利用Tor網路來隱藏C&C伺服器以防止遭查緝。安全公司認為這可能是IoT惡意程式開發的新興趨勢。

Mirai是一隻物聯網殭屍網路病毒,專門利用已知或未公開的安全漏洞感染無線攝影機、路由器與監視器等物聯網裝置,並控制這些裝置發起分散式阻斷服務(DDoS)攻擊,在2016年曾經攻陷過資安部落格Krebs on Security、DNS供應商Dyn、ISP OVH等知名網站,之後衍生出多個變種持續危害網路,且感染對象也擴及投影機、電視及伺服器等。

而且迄今仍不停有Mirai變種產生。趨勢科技7月中發現一隻病毒,它會掃瞄網路上TCP ports 9527 和34567的連網裝置,判斷其目標主要是網路攝影機、DVR等物聯網裝置,這點和舊版本Mirai一樣,是透過曝露的傳輸埠和預設密碼來感染裝置並發動DDoS攻擊。此外,它也使用Mirai相同的運算法加密,由此可判斷是Mirai的變種。研究人員以其中的字串Longnose將之命名。

但是這隻變種很特殊的是,它背後的駭客將控制的C&C伺服器架在Tor網路中。普通Mirai變種有1到4台C&C伺服器,但趨勢科技發現Longnose有30個寫死的IP位置。分析呼叫連線後發現,目的地是通往Tor網路的socks代理伺服器。進一步研究顯示,惡意程式是從一個代理伺服器清單中隨機挑選一台伺服器,然後從socks5代理伺服器啟動查詢,以該伺服器為中繼節點將封包傳到位於Tor上的C&C伺服器。如果連線失敗就試另一台伺服器。研究人員認為惡意程式作者意在藉此防止C&C伺服器被追蹤IP並通報網域管理者,進而遭到關閉。

事實上,2017年也曾經有惡意程式BrickerBot把惡意程式主機代管在Tor網路上(諷刺的是,Mirai當初也是因為BrickerBot的興起而衰弱。)但趨勢科技認為Mirai變種進化到這種手法,可能帶動其他IoT惡意程式家族的演進,也預告新的網路威脅趨勢。

安全公司呼籲用戶應定期升級到最新版本的安全軟體,同時避免連到不安全的網路,以免從開放網際網路遭到感染。


Advertisement

更多 iThome相關內容