加入RUN!PC粉絲團
最近新增的精選文章
 
最多人點閱的精選文章
 
 
精選文章 - 網管資安
分享到Plurk
分享到FaceBook
 
殭屍病毒藉由新的木馬程式擴大地盤
文‧圖/Giannina Escueta 、Julie Cabuhat 2017/2/23 上午 11:56:23

去年(2016)年底,以 Linux 類系統為目標的 Mirai 殭屍病毒 ELF_MIRAI造成多起相當轟動的分散式阻斷服務 (DDoS) 攻擊,讓人們見識到物聯網有多麼脆弱。今年二月,Mirai 挾著新 Windows 木馬程式的威力再次登上媒體版面,這一次它進一步擴大地盤。

根據趨勢科技2017年資安預測,像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加, Mirai 殭屍網路不需使用 DNS 伺服器來癱瘓目標,也能利用流量放大技巧來發動 DDoS 攻擊,足以讓許多使用者無法連上目標網站並造成更大傷害。在過去兩年,Mirai透過暴力破解方式和殭屍程式不斷掃描所有 IP 位址來發掘潛在的受害者,此次發現的 Windows 木馬程式 BKDR_MIRAI.A 主要是用來幫 Mirai 搜尋可攻擊的目標,讓 Mirai 殭屍病毒散布得更廣。


▲ 圖1 Mirai 殭屍網路利用流量放大技巧來發動 DDoS 攻擊。



此隻 BKDR_MIRAI.AWindows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃描的 IP 位址範圍。當該程式成功入侵目標裝置,就會檢查裝置使用的作業系統,並依裝置中的作業程式為 Linux 或 Windows 版本而採取不同的攻擊行為。如果是 Linux,就會在裝置內植入 Mirai 病毒,讓這台裝置也變成殭屍。如果是 Windows,就會將木馬程式植入到該裝置上,然後繼續尋找其他 Linux 目標。

在2016年8月發現了最初的 Mirai 殭屍病毒,它專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。Mirai 殭屍病毒會隨機選擇一個 IP 位址,試圖用一些預設的管理帳號和密碼來看看能不能登入裝置,它所嘗試的連接埠 (和通訊協定) 有:7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在同年10月,該病毒的原始程式碼開始在網路上流傳,攻擊案例也開始攀升。衍生的變種病毒也開始攻擊各大知名網站,如:Netflix、Reddit、Twitter、AirBnB,其中最大的案例之一就是德國電信 Deutsche Telekom 約有90萬台家用路由器遭殃。


▲ 圖2 Windows 木馬程式當中負責掃描連接埠的程式碼。



Windows 版的木馬程式可掃描的連接埠數量比原本 Linux 版的 Mirai 病毒更多,而且會盡可能找出所有可感染裝置的途徑。它會檢查目標裝置是否開放以下連接埠:22 (SSH)、23 (Telnet)、135 (DCE/RPC)、445 (Active Directory)、1433 (MSSQL)、3306 (MySQL) 以及 3389 (RDP)。這些都是裝置通常會開啟的連接埠,經常用於:分散式軟體、檔案分享、遠端裝置管理等等。

從這些被攻擊的連接埠可看出其主要針對目標是 MySQL 和 Microsoft SQL Server 資料庫這類的主機軟體。一旦找到,此木馬程式就會試圖建立一個具系統管理員權限的新使用者。換句話說,當它找到 Microsoft SQL Server 時,會試圖建立一個名為「Mssqla」的系統管理員帳號,駭客即能變更伺服器的組態設定,甚至將伺服器關機、變更帳號設定、終止執行中的程序,以及建立、修改、刪除或復原任何資料庫。

雖然這個 Windows 木馬程式的目的只有一個,就是散布 Mirai 病毒,但它卻仍有很大的成長空間。只要經過駭客稍加修改就能散布其他惡意程式,而且由於它專門感染 Windows 裝置,因此也擴大了 Mirai 的活動範圍。

除此之外,這個惡意程式還可用來入侵同一網路之下的所有 IoT 裝置並加以感染。一般來說,家用網路的 IP 位址都很容易猜測,絕大部分都是 192.168.x.x。由於這個 Windows 木馬程式會從幕後操縱 (C&C) 伺服器取得要掃描的 IP 位址,因此伺服器可以指定掃描本地端 IP 位址範圍,找到入侵裝置附近的 IoT 裝置,然後試著用預設的帳號密碼登入。

無論是個人家用或是企業機構,都應在端點裝置上採用信任的防護解決方案以偵測惡意程式,即時檢查路由器和所有連線裝置之間的網路流量,監控所有連接埠及網路通訊協定,有效防範進階威脅和針對性攻擊等威脅。