橫行一時的Mirai僵屍網路,現在來了對手。據悉,一場圍繞物聯網設備控制權的大戰正愈演愈烈,而主角除了Mirai的剩餘僵屍網路,還有一個名為“Hajime”的新型蠕蟲軟體。
Mirai對手出現 蠕蟲軟體爭奪物聯網控制權
在過去幾個月,Hajime獲得迅速傳播。安全機構通過對全球範圍內的感染設備進行跟蹤,發現受感染的主要國家為巴西和伊朗。儘管現在難以預計該點對點網路的規模,但保守估計,全球受到感染的設備數量已達到數萬台,中國也是受到感染的市場之一。
去年10月,安全研究人員首次發現Hajime蠕蟲。與Mirai(Linux.Gafgyt)相似,該蠕蟲同樣利用未採取保護措施的設備(遠端登入埠處於打開狀態並使用預設密碼)進行傳播。事實上,Hajime所使用的用戶名及密碼組合與Mirai完全相同,且僅比Mirai多兩組。
與Mirai在命令和控制(C&C)伺服器使用硬編碼位址不同,Hajime建立在一個點對點網路之上。該網路中不存在C&C伺服器位址,而是通過控制器,將命令模組推至點對點網路,然後將消息傳播至所有點對點中,這導致此類網路的設計更加堅固,將其摧毀的難度也隨之增加。
同Mirai相比,Hajime的行動更加隱秘,技術也更為先進。一旦感染設備,該蠕蟲便會採取多個步驟,掩蓋其運行的進程,並將相關檔隱藏於檔案系統之中。蠕蟲製造者可隨時在網路中的任意受感染設備打開Shell腳本。由於該蠕蟲使用了模組化代碼,因此設計者可隨時添加新的功能。從Hajime的代碼可明顯看出,設計者對該蠕蟲病毒進行深入的開發與設計。
與眾不同的是,該蠕蟲軟體也顯示出能夠改善所感染設備的安全性的潛質,因為其會推送自稱白帽子的聲明。姑且不論該製作者的目的如何,單從其可阻擋Mirai僵屍網路對物聯網設備埠23、7547、5555和5358的訪問,即可看出其將成為Mirai的有力競爭者。
那麼是否可以針對該進行防護呢?修改物聯網設備的預設密碼是一定的,然後禁用Telnet登錄並儘量使用SSH、同時可以選擇禁用遠端存取,以及其他一些不必要的功能和服務等等。