敌对的IoT恶意软件在殭尸网络的领域上竞争
Hajime恶意软件正在与Mirai恶意软件竞争受到奴役的物联网装置。
Mirai是一个臭名昭彰的IoT恶意软件,专门用来奴役IoT装置。根据信息安全言研究人员所说,敌对的程序代码已经成功感染许多相同的容易入侵的物联网装置,并且具有击败Mirai的弹性。
BackConnect的CTO Marshal Webb说:“你几乎可以直接将它称为Mirai的类固醇”。BackConnect是一个提供对抗DDoS的服务的提供商。
信息研究人员将这个敌对的物联网恶意软件命名为Hajime,虽然他只被发现了六个多月,但是他已经建立了一个殭尸网络了。Webb估计他在全球已经感染了大约10万台装置。
这些殭尸网络会奴役计算机,造成问题。他们大多被用来进行大量的DDoS攻击,造成网站无法使用或是瘫痪网络设施。这也就是Mirai恶意软件上了去年十月头条的原因。一个由Mirai的殭尸网络发起的DDoS攻击针对了DNS的提供商Dyn,造成整个美国的网络速度下降、瘫痪的问题。
Hajime在同一个月被发现,在Rapidity Networks的研究人员搜寻Mirai的行动时所发现。他们发现了这个类似的活动,但是他却更顽强。跟Mirai类似,Hajime也会搜寻网络上安全防护不足的物联网装置,例如相机、DVRs或是路由器。他会使用不同的账号密码来试着入侵并送入一个恶意的程序。
但是,Hajime不会透过C&C服务器送出指令,他透过P2P的方式来沟通,这使得殭尸网络变的离散化,也更难被停止。“Hajime比Mirai更加更加的进阶”Webb说:“他使用了一个更有效率的方法来进行控制。”
BoardBand的提供商已经透过阻挡与他们链接的服务器的网络流量,从而攻破了未来新建的殭尸网络。与此同时,Hajime一直在全天候增长,奴役了一些相同的设备。他的P2P生态意味着许多被感染的设备可以将文件或指令传递给殭尸网络的其余部分,从而使其更有弹性。
Hajime的幕后黑手是谁仍然不确定。奇怪的是,他们还没有侦测到任何由Hajime殭尸网络发起的DDoS攻击。毕竟他的规模足以发动类似于Mirai曾经发起过的DDoS攻击。
但是,Hajime确实在持续搜寻网络上有弱点的装置。Geenens的honeypot,一个追踪殭尸网络活动的系统,已经被Hajime控制的装置的感染尝试所淹没。所以这个殭尸网络的目标仍然未知。但是其中一个情境是他将被网络罪犯用来进行DDoS攻击并进行金融敲诈。
“他是一个很大的威胁”Geenens说:“在某些时候,他可以被用来做一些很危险的事情。”
Hajime也有可能是一个研究的项目。又或者是一些信息安全专家用来阻挡Mirai的设计。
Hajime可能会比Mirai更广为散布,Bulgaria的National Laboratory of Computer Virology的信息安全专家Vesselin Bontchev表示。
但是,这两个恶意软件之间还有一个特别的差异。Hajime被发现他感染了一小群使用ARM芯片的物联网装置。
这跟去年九月发布的Mirai样本形成一个对比。自从那时起,copycat黑客使用了这个程序代码并升级了这个恶意软件。Vesselin发现Mirai限制自己不去感染使用ARM、MIPS、x86等六种平台的物联网装置。这显示了这两个恶意软件的范畴并没有完全重迭。尽管如此,Hajime仍然限制了Mirai的扩展。“这绝对是一个领地的冲突”Flashpoint的主任Allison Nixon说。
为了阻止这些恶意软件,研究人员表示最好的办法就是解决掉最根本的问题,也就是将这些有弱点的物联网装置提高防御力。但是这将会花费许多时间,甚至也可能是无法达成的。一些物联网的供货商会释出安全性更新给他们的产品,但是大部分都不会,Nixon说。
这表示Hajime与Mirai将会持续纠缠很长一段时间,直到那些装置被淘汰。“这将会持续下去”Nixon表示:“就算发生了停电,这些恶意软件还是会重新再感染依次这些装置。这将永远不会停止。”