锁定DVR建僵尸网络！请密切留意新型物联网恶意程式

作者：Claud Xiao、Cong Zheng 及 Yanhui Jia

最近 Unit 42 的研究人员辨识出“Tsunami”僵尸网络的物联网/Linux 变种程式，我们称它为“Amnesia”。Amnesia 僵尸网络的目标锁定未安装修补程式的远端程式码执行漏洞，这项弱点已在一年前的 2016 年 3 月被公开揭露，存在于由中国同为数码(TVT Digital)公司所生产的数位录影机(DVR)，全球共有超过 70 家厂商推出由该公司代工生产的贴牌产品。根据如图 1 所示的扫描资料，这项漏洞影响全球约 22.7 万部装置，出现被入侵案例最多的国家包括台湾、美国、以色列、土耳其、印度。

图 1 同为数码 DVR 装置受攻击案例的分布状况

此外，我们相信 Amnesia 是第一只采用虚拟机器入侵技巧破解沙箱分析机制的 Linux 恶意程式。虚拟机器入侵技巧一般来说比较常见于微软 Windows 与 Google Android 平台的恶意程式。手法和这些程式相似的 Amnesia 会试着侦测自己能否在 VirtualBox、VMware 或 QEMU 等虚拟机器上运行，一旦它侦测到这些环境，就会删除档案系统中的所有档案，借此抹除虚拟化 Linux 系统。这样的动作不仅影响 Linux 恶意程式码的沙箱分析，也会影响在 VPS 虚拟专属主机或公有云上运行的 QEMU 虚拟 Linux 服务器。

Amnesia 利用这种远端程式码执行的漏洞，着手扫描、定位、然后攻击这些系统。一旦得手，Amnesia 就能取得该装置的完全控制权。攻击者能利用 Amnesia 僵尸网络发动类似 2016 年秋天 Mirai 僵尸网络攻击的分散式阻断服务 DDoS 攻击。虽然这项漏洞早在一年前就被发现，但我们尽最大的努力，至今还是无法找到更新手法来修补这个漏洞。

虽然至今尚未发现有人利用 Amnesia 僵尸网络来发动大规模攻击，但根据 Mirai 僵尸网络攻击的特性，这类攻击手法确实有能力建立大规模 IoT 僵尸网络来兴风作浪。专家建议所有管理员应阻挡本研究报告中揭露的入侵指标 (IoC) 数据库中所列 Amnesia 指令与控制服务器 (C2s) 发出的所有流量。

总结

除了 Amnesia 僵尸网络形成的威胁，这只恶意程式还反映目前物联网/Linux 僵尸网络威胁一些值得注意的趋势：

－物联网/Linux 恶意程式开始采用一些经典技巧避开虚拟机器的侦测，甚至动手删除虚拟机器。

－物联网/Linux 恶意程式开始锁定并攻击物联网装置中已知的远端程式码执行漏洞。这些产品通常由规模较小的制造商所生产，厂商可能不会释出修补程式。

－物联网/Linux 恶意程式也能影响 VPS 所布建的 Linux 服务器或公有云上的服务器。

在 Amnesia 案例中，由于恶意程式把 C2 网址直接写在程式中，因此如果能尽快全面地封锁这些网址，就能防范其他 Mirai 类型的攻击。

原文连结：

锁定 DVR 建僵尸网络！ 请密切留意新型物联网恶意程式

相关文章：

品味你懂什么？青色 Oppo R9 几分钟被扫光！

HKITBLOG

由一班 IT 人编写的商用 IT 网志，为您提供最深入、齐全、实用的电脑资讯、软件网志、I.T. Blog等。