luochicun 嘶吼专业版
一种新的恶意程序正通过破坏物联网设备的固件,让它们彻底变为“砖头” ,这类似2017年破坏数百万设备的BrickerBot恶意程序。该恶意程序被称为Silex,它通过破坏物联网设备的存储设备、删除防火墙规则和网络配置让其停止工作,要恢复设备受害者需要手动重新安装固件,不过,这对大多数设备管理者来说太复杂了。
Silex于6月26日早些时候开始运行,运行不久,就有安全人员开始调查,当时恶意软件已经破坏了大约350个设备,不过就在一个小时之后,被破坏的设备就迅速增加到了2000台。截止发稿时,***仍在继续。这让人想起2017年摧毁数百万设备的BrickerBot恶意软件,根据目前的统计,BrickerBot已让1000多万台物联网设备变“砖”。更要命的是背后的开发者竟是一个14岁的骚年!号称这次***只是他开的一个玩笑,你信吗?
Mirai僵尸网络、BrickerBot和Silex,谁的威胁更大?
Mirai僵尸网络,是由大量可受控物联网(IoT)设备组成的庞大网络,其由于在2016年导致美国大范围网络瘫痪而名噪一时。不过,早在2017年, Mirai僵尸网络的威胁已不算什么了,因为一个比Mirai威胁更大的恶意软件——BrickerBot出现了。
为什么说BrickerBoti威胁更大?因为BrickerBot会锁定基于Linux与BusyBox工具包的物联网设备,之后通过暴力***法破解这些设备的账户和密码。在成功***这些设备后,BrickerBot则会执行一系列的Linux命令,来破坏设备上的闪存存储,包括摧毁设备的连网能力与设备功能,最后删除掉设备上的所有文件,让这些设备毫无用处。
而此次Silex的出现,则让BrickerBot都相形见绌。因为根据对Silex的开发者的采访,该恶意软件不但要对标BrickerBot,而且要比它更强。
SILEX恶意软件是如何工作的?
Akamai研究员Larry Cashdollar首次发现了Silex,他说,Silex的工作原理是破坏物联网设备的存储设备,破坏防火墙规则,删除网络配置,然后让设备停止工作。
这是在不破坏物联网设备电路的情况下所能达到的最大破坏程度,为了恢复设备,受害者必须手动重新安装设备的固件,对于大多数设备所有者来说,这是一项过于复杂的任务。
预计一些用户很可能会就此更换掉目前使用的设备,因为他们会认为自己的设备固件出现了故障,而不知道是受到了恶意软件的***。
Cashdollar在今天的一封电子邮件中告诉ZDNet:
Silex使用已知的默认凭证登录物联网设备并阻止系统的运行,它是通过将/ dev / random中的随机数据写入它找到的任何已安装存储来实现的。我发现,Silex在二进制文件中调用fdisk -l,它将列出所有磁盘分区。然后,将/ dev / random中的随机数据写入它发现的任何分区。最后,它会删除网络配置,通过运行rm -rf /,它将删除它能发现的任何内容。另外,Silex还会篡改所有iptables条目,添加一个删除所有连接的条目,然后停止或重启所有感染的物联网设备。
注:1.通过fdisk -l 查看机器所挂硬盘个数及分区情况,fdisk能划分磁盘成为若干个区,同时也能为每个分区指定分区的文件系统,比如linux,fat32,linux swap,fat16以及其实类Unix类操作系统的文件系统等.当然用fdisk对磁盘操作分区后,还要对分区进行格式化所需要的文件系统,这样一个分区才能使用。
2.如果你接触过linux,肯定没少听过rm -rf的故事,这个恐怖的命令执行后到底会产生什么样的效果呢?执行“rm -rf /命令,会将所有的文件都删除,有些系统保护的文件也会报错。删除完毕后,试着执行了几个命令,如top、free、ls、shutdown等都已经无法执行了,只有cd可以。由此可见执行rm -rf /*命令的影响程度有多大。
3. IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非你正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。
***来自哪里?
根据目前的证据,***源头的服务器位于伊朗。
Cashdollar告诉研究人员:
它的目标是任何具有默认登录凭证的类unix系统。根据我们目前捕获的二进制样本,它们的目标是ARM设备。我注意到它还有一个Bash shell版本可供下载,可以针对任何运行Unix这样的操作系统的结构。
这也意味着,如果Linux服务器打开了Telnet端口,并且它们的安全性很差或使用了没有啥防护作用的凭据,那么Silex将很容易对这些设备发起***。
Cashdollar说:
针对蜜罐捕获的IP地址,该地址位于novinvps.com拥有的VPS服务器上,该服务器在伊朗。这意味着,这些***是由伊朗发起的。
在撰写本文时,该IP地址已被物联网恶意软件研究人员罗希特•班萨尔(Rohit Bansal)报告给了URLhaus,并已被列入黑名单。
谁是SILEX恶意软件的幕后黑手?
在NewSky安全研究员Ankit Anubhav的帮助下,ZDNet向Silex恶意软件的开发者提出了一系列关于***动机的问题。根据Anubhav的说法,造成这种破坏性恶意软件的罪魁祸首是一个14岁的少年,他的网名是Light Leafon。
Anubhav确认了***的身份,让他在Silex命令与控制(C&C)服务器上放了一条自定义消息,确认我们确实在与Light Leafon交谈。
在此之前,Light曾创建过HITO物联网僵尸网络,并在一个月前接受了Anubhav关于物联网僵尸网络和安全播客的采访。Light表示,它已经放弃了旧的HITO僵尸网络,转而使用Silex。这名少年说,他计划进一步开发恶意软件,并添加更具破坏性的功能。
Light告诉Anubhav和ZDNet:
Silex目前只是在测试阶段,以后还将被重新设计,以拥有BrickerBot最初所包含的功能。
重新设计计划包括:增加通过SSH登录到设备的功能,以及当前的Telnet劫持功能。此外,Light还计划在Silex中加入漏洞,就像如今大多数物联网僵尸网络一样,让恶意软件能够利用漏洞侵入设备。
目前,Light和他的朋友将重新设计整个Silex。未来,它将针对Mirai或Qbot加载过的每一个公开的漏洞。Silex恶意软件显然是受到BrickerBot的启发,它曾在2017年4月至12月期间活跃。
BrickerBot开发者Janit0r声称,他已经***了1000多万台物联网设备。Janit0r发起这些***,是为了抗议智能设备的开发商对安全功能的漠视,当时这些设备不断受到Mirai DDoS恶意软件的感染。
Janit0r认为,如果这些设备变成砖头会更好,因为这比成为DDoS僵尸网络的炮灰要好。Janit0r的过激行为确实让一些互联网服务提供商对他们的网络产品的安全保护提高了,但与Janit0r不同的是,到目前为止,Light并没有说明他的动机。
