摘要:去年物联网僵尸网络Mirai通过DDoS攻击控制用户的物联网设备,使多个全球最大网站发生故障。最近IBM安全管理服务更是发现该网络尝试利用物联网设备中积累的算力进行比特币挖矿。配备新设备升级后的网络包含多个版本,其中ELF Linux/Mirai具有独特功能,可以执行“SQL注入攻击”以及所谓的“蛮力攻击”。只是目前还没有发现它有成功案例,只是其可能性引起担忧,也许会使比特币矿工联合对抗。
臭名昭著的物联网僵尸网络Mirai参与比特币挖矿
还记得物联网僵尸网络吗?就是去年秋天短时关闭多个全球最大网站的那个。
现在又发现了新的版本,它除了可以发起拒绝服务攻击(DDoS),还配备了比特币挖矿设备。
在数字时代,黑客是可能感染并控制不安全物联网设备的,比如相机等联网的设备。然后可以将这些设备连接到僵尸网络,利用其组合功能向网站或者互联网结构发送垃圾信息,降低运行速度或者迫使其下线。
去年秋天的一连串攻击就是这样发生的,利用了恶意软件Mirai。
之后很快该软件就开源了,让安全工程师颇为沮丧,自此出现了不同的僵尸网络迭代版本,增加了新的功能。
IBM网络安全研究部门IBM X-Force调查显示,其中一个叫作ELF Linux/Mirai已经进行多日的比特币挖矿。似乎一些不知名的黑客在尝试利用物联网设备中积累的算力获取该数字货币,并获得现金。
Dave McMillen
IBM安全管理服务(Managed Security Services)高级威胁研究员及该报告作者Dave McMillen说,这可能是物联网僵尸网络未来用例的预兆。
“鉴于其可能涉及的设备规模,将来这个ELF/Mirai版本可能会吸引其他人”。
他说,然而该僵尸网络似乎还没有挖矿成功,公司安全团队认为它更像是对未来可能性的预期。
挖矿异常侦测
那么事情经过如何?IBM如何发现该僵尸网络挖矿设备的?
McMillen解释说:
“我们在IBM X-Force监控的客户端环境数据中发现命令行输入活动的明显增加,并进行了深入调查”。
安全团队看到ELF 64字节二进制文件的流量异常增加50%,但是第八天便失败了。
该团队分解该二进制文件发现Linux版本的恶意软件类似典型的Windows版本。
“多个工具发现它是从属矿工,然而我们仍然在调查该版本的其他特性”。
尽管目前还有很多其他僵尸网络版本,ELF Linux/Mirai有独特的功能,可以执行“SQL注入攻击”(SQL injection,控制数据库的方法)以及所谓的“蛮力攻击”(brute force)。
但是Linux版本还有新的功能——比特币挖矿元件。
未来的威胁?
IBM报告猜测僵尸网络发明者可能尝试利用被攻击的物联网设备进行比特币挖矿,以此获得利益。
一篇博客解释,鉴于Mirai一次性感染数千台设备的能力,比特币矿工可能结成大型矿工联盟。我们还没有确定该功能,但是发现这是有趣又令人担忧的可能性。
“一个可能性是,尽管Mirai僵尸网络目前还在等待进一步指示,但可能进入挖矿模式”。
尽管这个想法是预测性的,该报告指出了一个事实,那就是 比特币被用于网络犯罪。比如勒索软件中用户数据被加密,并索取资金;因为比特币是去中心化的,被看做是更加保护隐私性的货币。
该技术还会有其他更具利益的用例,比如最近一个公司宣布搭建比特币僵尸网络来增加物联网设备的安全,将其结合加密货币技术还可能降低相关网络活动获利的可能性。
简单防御
因此用户如何保护联网设备,不变成比特币挖矿的奴隶呢?
Mirai恶意软件利用十分简单的攻击向量。
问题是许多物联网设备都要预设密码,而且很多用户不会主动修改密码,攻击者只需要找到默认密码就可以攻击这些设备。
McMillen的建议是让用户修改密码,尽管他希望物联网公司可以主动采取措施。
“制造商可以寻找安全管理这些密码的方式,也许可以强制用户修改密码或者随机设置默认登录方式”。