赛门铁克专家近期发现新型物联网( IoT )僵尸网络 Hajime 过去几个月内在巴西、伊朗等国家呈持续增长、迅速蔓延之势。目前,黑客已开始实施新型攻击方式,感染逾 30 万台 IoT 设备。
恶意软件 Hajime 于 2016 年 10 月被首次发现,采用了与僵尸网络 Mirai 相同的传播机制。据悉,该威胁目标主要为使用开放式 Telnet 端口与默认密码的不安全 IoT 设备。研究人员发现,Hajime 与 Mirai 具有几近相同的用户名和密码组合列表,但传播方式并非 C&C 服务器,而是对等网络连接。赛门铁克专家表示,Hajime 无需任何 C&C 服务器地址,仅通过控制器将命令模块推送至对等网络,消息随时间推移传播至所有对等网络。
Hajime 比 Mirai 更加复杂,实现了隐藏其活动与运行进程的更多机制。调查表明,该威胁具有允许运营商快速添加新型功能的模块化结构。分析报告显示,Hajime 并未执行分布式拒绝服务( DDoS )攻击或其他任何攻击代码,而是从控制器中提取语句并每隔 10 分钟在 IoT 终端上显示一次。该邮件采用数字签名,而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染,蠕虫将阻止访问端口 23、754、5555 与 5358,以防来自其他 IoT 威胁(包括 Mirai 在内)的攻击。
专家认为,Hajime 可能出自某个黑客义警之手,因为他们过去就曾发现类似代码,例如赛门铁克于 2015 年 10 月发现的 Linux.Wifatch。
图:Telnet 默认密码攻击
据悉,Hajime 作者仍在继续更新代码。卡巴斯基研究人员发现此人近期更改了引入 TR-069 协议的攻击模块。目前,该僵尸网络可实现三种不同的攻击方式:TR-069 协议利用、Telnet 默认密码攻击与 Arris 电缆调制解调器密码日常攻击。此外,卡巴斯基专家发现,僵尸网络 Hajime 几乎可以针对互联网上的任何设备发动攻击。
在卡巴斯基研究人员看来,Hajime 最耐人寻味之在于动机。截至目前,攻击模块中引入 TR-069 协议的做法使僵尸网络规模日益扩大,但具体动机仍不为人知。尽管暂未发现僵尸网络 Hajime 被用于任何类型攻击或恶意活动,仍建议 IoT 设备用户将密码更改为难以暴力破解的形式并尽可能更新固件。
from hackernews.cc.thanks for it.