比 Mirai 更狠, BrickerBot 要让智能型家等 IoT 装置,永远变砖块!

Sprite

一种针对物联网（IoT,Internet of Thing）设备的新恶意软件 BrickerBot 近日登上媒体,虽然据称它的攻击媒介跟 Mirai 类似，但是不同于 Mirai会将受感染设备变成「Botnet傀儡殭尸网络」计算机，BrickerBot 是所谓「phlashing」(网络刷机) 攻击的真实案例，这是一种永久阻断服务攻击 (简称 PDoS)，利用硬件装置的安全漏洞，直接破坏装置的韧体。

BrickerBot 和 Mirai 及 LuaBot (ELF_LUABOT) 这类专门攻击 IoT 装置的恶意软件一样，会藉由装置默认的账号密码来登入装置。不过，BrickerBot 却不像其他攻击 IoT 装置的病毒将感染的装置变成殭尸以建立庞大的殭尸网络，进而发动分布式阻断服务 (DDos) 攻击。BrickerBot 会在感染装置上执行一连串的 Linux 指令，导致感染装置永久损坏。其中某些指令会毁损或恶意修改装置储存容量设定及核心参数、阻碍因特网联机、影响装置效能，以及清除装置上所有档案。

目前已知 BrickerBot有两种版本:

BrickerBot.1 版本专门攻击使用 BusyBox 软件的 IoT 装置 (这是一套类似 Unix 工具包的软件，适用 Linux 和 Android 系统)，装置若开放了 Telnet 或 Secure Shell (SSH) 联机就可能遭到攻击，后者之所以遭到攻击是因为采用了旧版的 SSH 服务器。一些仍在使用旧版韧体的网络装置最可能遭到此版本的攻击。

BrickerBot.2 版本专门攻击开放 Telnet 服务并使用预设 (或写死) 账号密码的 Linux 装置。第二个版本会利用 TOR 出口节点 (exit node) 来隐藏其行踪。

根据趋势科技对 BrickerBot 的长期观察，该程序还会利用路由器中的远程程序代码执行漏洞。而初步分析也证实 BrickerBot 的确会使用默认的账号/密码组合 (如：「root/root」和「root/vizxv」) 来试图登入装置，此外还会随机写入装置的储存装置。

去年，由于 Mirai 殭尸病毒的出现，以及它对企业和个人所造成的严重灾情， IoT 装置安全成了最迫切的议题。此次 BrickerBot 的现身，反映出 IoT 装置在网络攻击当中正逐渐扮演重要角色，因为某些产业的企业已开始慢慢导入这些装置，例如：制造业和能源产业。就连像一般家用路由器这样平凡的装置，一旦被变成殭尸，就会完全听从黑客的指示攻击企业、窃取企业资产，或窃取感染装置上的数据。

如何防范 BrickerBot

有鉴于 BrickerBot 的破坏性，美国工业控制系统网络紧急应变小组 (Industrial Control Systems Cyber Emergency Response Team，简称 ICS-CERT) 特别针对工业控制系统厂商、持有者与操作者发表了一份资安公告 ，建议采取以下防御措施：

• 尽可能避免所有工业控制系统 (ICS) 装置连上对外网络/因特网。
  
• 启用防火墙并且将 ICS 装置与企业网络隔离。
  
• 当从远程访问 ICS 装置时，务必透过虚拟专用网 (VPN)。
  
• 定期更新/修补系统，一有更新便立即套用。
  
• 增加额外的验证机制，特别是针对系统管理员账号。
  
  

防范 BrickerBot 最有效的方法就是变更并强化装置默认的账号密码，减少装置遭到不当存取的机会。此外也应考虑停用远程管理功能，例如像 BrickerBot 会使用的 Telnet。

除此之外，企业和一般使用者也应随时保持 IoT 装置韧体更新，以修补黑客可能入侵的漏洞，避免 BrickerBot 将装置变成砖块。同时，若能在网络网关部署入侵防护系统，也可提供一层额外的安全保护，在网关端侦测并拦截黑客入侵。IT 系统管理员与资安人员更应主动发掘企业网络内的可疑或恶意活动。

不幸的是，有许多 IoT 装置内建了固定或写死的账号密码、工具及服务，而且无法停用、更新或修补。的确，BrickerBot 对企业和家庭使用者不仅是一记警钟，而且也点出了 IoT 装置制造厂商应该负起改善装置安全的责任。

＠原文出處：BrickerBot Malware Emerges, Permanently Bricks IoT Devices

微信扫一扫，阅读更方便^_^