fbpx

變種感染香港大流行 ! 感染佔全球27% !

Barracuda 發表最新《焦點報告》,就針對物聯網(IoT)裝置的新型Interplanetary Storm (IPStorm)變體發出警示。

操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變體,除影響Windows和Linux系統設備外,現亦針對Mac和Android裝置。該惡意軟件會製造殭屍網絡,Barracuda研究員估計現時全球大概有84個國家的13,500個系統設備已經遭到感染,而且數目正不斷增加。

大部份遭到惡意軟件感染的系統設備位於亞洲:

  • 27%的受感染系統設備在香港
  • 17%在南韓
  • 15%在台灣
  • 8%在俄羅斯和烏克蘭
  • 6%在巴西
  • 5%在美國和加拿大
  • 3%在中國
  • 3%在瑞典
  • 其他國家佔1%或以下

研究顯示香港受感染的設備數目最多。事實上,殭屍網絡(殭屍電腦)一直是香港一個主要的網絡安全威脅。根據香港電腦保安事故協調中心的《香港保安觀察報告》(HKCERT) 顯示,單在2020年第二季就有5,952宗殭屍網絡個案發生。

以下是關於上述威脅的資料、偵測和應變措施。

重點威脅 

Interplanetary Storm惡意軟件的新型變體 — 這種新型惡意軟件變體與另一種點對點(P2P)的惡意軟件FritzFrog相似,都是經由對SSH伺服器發動字典攻擊(Dictionary Attack)進入系統設備。它亦可以經由開放的Android Debug Bridge (Android 調試橋)伺服器取得進入途徑。這個惡意軟件會偵測受感染系統設備的中央處理器(CPU)結構和操作系統(OS),亦可在常見於路由器和物聯網裝置上運行的ARM架構(ARM-based) 電子設備。

這個惡意軟件被稱為Interplanetary Storm,是因為它使用InterPlanetary File System (IPFS) p2p network和隱含libp2p implementation,令受感染的節點直接或經由其他節點接力散播。

Interplanetary Storm 的第一個變體針對Windows 系統設備,於2019年5月被發現。2020年6月又發現了另一個可以攻擊Linux 設備的變體。至於今次這個變體,則由Barracuda研究員在8月底首次偵測到,主要目標為物聯網裝置,例如使用Android操作系統的電視和使用Linux的系統設備,包括設定不當的SSH服務路由器。HKCERT於2019年亦曾發出警告,指網絡攝影機為本港最被廣泛使用的物聯網裝置,但很多家用網絡攝影機卻缺乏安全的設定。

雖然這個惡意軟件所建立的殭屍網絡還沒有清晰的功能,但它為幕後操作者提供進入受感染系統設備的一道後門,令他們往後可進行加密挖礦、分布式拒絕服務攻擊(DDoS)或其他大規模的攻擊。

詳情 

IPStorm的新變體使用Go編寫,採用Go implementation of libp2p,並且與UPX包裝在一起。它使用SSH暴力攻擊(brute-force) 和開放的ADB端口進行傳播,將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向Shell功能,以及可以運行Bash Shell。

Barracuda 研究人員發現一旦系統設備受到感染,該惡意軟件具有多項獨特功能使其可繼續存在,並提供保護。

  • 偵測誘捕系統 (Honeypot)——這個惡意軟件會在預設Shell 提示符(PS1)中搜尋字符串“ svr04”,該字符串曾被Cowrie 誘捕系統使用。
  • 進行自動更新 —— 該軟件會對比正在運行的版本與最新的版本,並自動更新。
  • 使用Go守護程序包 (Go daemon package) 安裝服務(系統/系統v)以保持繼續存在。
  • 它會消滅在系統設備中對自己構成威脅的其他程式,例如除錯器和其他競爭性惡意軟件。它會透過尋找命令搜索以下字串來達到目的:
  • 「/data/local/tmp」
  • 「rig」
  • 「xig」
  • 「debug」
  • 「trinity」
  • 「xchecker」
  • 「zypinstall」
  • 「startio」
  • 「startapp」
  • 「synctool」
  • 「ioservice」
  • 「start_」
  • 「com.ufo.miner」
  • 「com.google.android.nfcguard」
  • 「com.example.test」
  • 「com.example.test2」
  • 「saoas」
  • 「skhqwensw」

如何防禦這類攻擊 

以下幾項措施可以防禦新型變體惡意軟件:

  • 在所有裝置上正確設定SSH訪問權限,例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時,惡意軟件就可利用設定不當的部份進行攻擊。 這是路由器和物聯網裝置常見的問題,因此很容易成為該惡意軟件的目標。
  • 使用雲安全管理工具檢測SSH訪問權限,以防設定錯誤導致的災難性後果。如有需要,則提供額外的外層保障,與其將資源暴露在互聯網,不如部署啟用MFA的VPN連接,並按特定需要劃分網絡區隔,而非對IP網絡廣泛地授予訪問權限。

有關報告詳情,可於https://blog.barracuda.com/2020/10/01/threat-spotlight-new-interplanetary-storm-variant-iot/下載。

 

TechApple.com 編輯部

堅持製作專業科技內容,全員擁有多種不同技術知識的特異科技媒體團隊。 電郵:editor@techapple.com

發表回覆

你的電郵地址並不會被公開。 必要欄位標記為 *

限制時效已用盡。請重新載入驗證碼。