对受感染系统的数据进行擦除的物联网设备开始受到恶意软件的攻击。
黑客已经开始为恶意软件添加数据擦除例程,旨在感染互联网和其他嵌入式设备。最近发现的一些攻击显示出这种行为正在逐渐增多,但黑客可能会出于不同的目的。
来自Palo Alto Networks的研究人员通过一年的漏洞感染数字录像机,发现一个新的恶意软件程序被称为“健忘症”。“健忘症”是一种被称为“海啸”的老式IoT僵尸网络客户端的变体,但有趣的是它试图检测能否在虚拟化环境中运行。
▲Credit: Gerd Altmann / Pixabay
恶意软件会执行一些检查,以确定其运行的Linux环境实际上是基于VirtualBox、VMware或QEMU的虚拟机。安全研究人员使用这种环境来构建分析沙箱或蜜罐(Honeypot)。
虚拟机检测已存在Windows恶意软件程序多年,但这是第一次在基于Linux的嵌入式设备构建的恶意软件中观察到此功能。如果“健忘症”检测到虚拟机的存在,它将尝试使用Linux“rm -rf”shell命令从文件系统中擦除关键目录,以摧毁他们可能收集的任何证据。
同时,来自安全服务提供商Radware的研究人员发现了一种针对IoT设备的不同恶意软件攻击,他们称其为BrickerBot。这种攻击是从其他基于Linux的嵌入式设备的受损路由器和无线接入点启动的。
恶意软件尝试通过Telnet服务运行,并通过已经暴露在互联网设备上的常用用户名和密码组合来进行身份验证。如果这一行为成功了,它将启动一系列破坏性命令,用于覆盖设备安装分区中的数据;它也会尝试断掉互联网连接并使设备无法使用。
虽然一些设备可能会因为攻击而得以生存,因为它们使用只读分区,但许多设备将不会,也将需要固件刷新。此外,任何配置都可能会丢失,并且在具有USB端口或网络连接存储设备的路由器的情况下,外部硬盘驱动器的数据也可能被擦除。
实际上,其中一个BrickerBot攻击变体甚至不只局限于嵌入式设备和IoT设备,它还可以在任何基于Linux的系统上工作,如果它具有“弱”或“默认”的凭据,就可以通过Telnet访问。
目前还不清楚BrickerBot攻击背后的目标是什么。恶意软件的创建者可能是想要在互联网上禁用易受攻击的设备的人,以便不能被其他黑客感染和滥用。
去年发生的一些较大的分布式拒绝服务(DDoS)攻击源于被入侵的物联网设备组成的僵尸网络,所以其意图是强制用户采取行动并修复或替换其易受攻击的设备。
大多数用户不太可能知道他们的路由器、IP摄像机或网络连接的存储系统是否被恶意软件感染,并被用于DDoS攻击,因为这些攻击对其性能的影响可能不明显。但是,如果他们被BrickerBot攻击,他们会立即察觉到不对经,因为他们的设备将停止工作,其中很多可能需要手动干预才能解决。
Amnesia bot是一个非常好的例子,这个例子说明了嵌入式设备中的漏洞没有进行自动修补并暴露在互联网上,而设备最终受到了攻击。在一年多前,恶意软件攻击影响了70多个品牌的数字录像机(DVR),即录制来自闭路电视摄像机视频流的系统。DVR型号受到影响的原因在于,不同品牌销售的公司实际上是来自中国的一家名为深圳TVT数字技术公司的原始设备制造商(OEM)的硬件和固件。
这种所谓的“白色标签”做法对于许多IoT设备(包括IP摄像机和路由器)来说是常见的,并且它使受影响的设备上安装安全补丁变得非常困难。这也是许多这样的设备没有自动更新的原因之一。
目前,根据Palo Alto Networks的统计,全球有超过227000台DVR存在这种漏洞,并直接暴露在互联网上。其中最多的是中国台湾、美国、以色列、土耳其和印度。
在购买相机、路由器、NAS系统或其他IoT设备时,用户应该查看制造商的安全记录:该公司是否有专门的安全问题联络点?过去它是如何处理产品漏洞的? 它是否发布过安全咨询?它会定期发布安全补丁吗?产品有自动更新功能吗?
除了价格本身,这些问题的答案应该是购买设备时应该考虑的一大元素,因为所有的软件都会有缺陷,在便宜和昂贵的设备中都能找到安全漏洞。
本文转自d1net(转载)
