鎖定DVR的新型物聯網/Linux惡意程式在各地擴散建殭屍網路

Unit 42 的研究人員辨識出“Tsunami”殭屍網路的物聯網/Linux變種程式,我們稱它為 “Amnesia”。Amnesia殭屍網路的目標鎖定未安裝修補程式的遠端程式碼執行漏洞,這項弱點已在一年前的2016年3月被公開揭露,存在於由中國同為數碼(TVT Digital)公司所生產的數位錄影機(DVR),全球共有超過70家廠商推出由該公司代工生產的貼牌產品。根據如圖1所示的掃瞄資料,這項漏洞影響全球約22.7萬部裝置,出現被入侵案例最多的國家包括台灣、美國、以色列、土耳其、印度。

此外,我們相信Amnesia是第一隻採用虛擬機器入侵技巧破解沙箱分析機制的Linux惡意程式。虛擬機器入侵技巧一般來說比較常見於微軟Windows與谷歌Android平台的惡意程式。手法和這些程式相似的Amnesia會試著偵測自己能否在VirtualBox、VMware 或QEMU等虛擬機器上運行,一旦它偵測到這些環境,就會刪除檔案系統中的所有檔案,藉此抹除虛擬化Linux系統。這樣的動作不僅影響Linux惡意程式碼的沙箱分析,也會影響在VPS虛擬專屬主機或公有雲上運行的QEMU虛擬Linux伺服器。

Amnesia利用這種遠端程式碼執行的漏洞,著手掃瞄、定位、然後攻擊這些系統。一旦得手,Amnesia就能取得該裝置的完全控制權。攻擊者能利用Amnesia殭屍網路發動類似2016年秋天Mirai殭屍網路攻擊的分散式阻斷服務DDoS攻擊。雖然這項漏洞早在一年前就被發現,但我們盡最大的努力,至今還是無法找到更新手法來修補這個漏洞。

雖然至今尚未發現有人利用Amnesia殭屍網路來發動大規模攻擊,但根據Mirai殭屍網路攻擊的特性,這類攻擊手法確實有能力建立大規模IoT殭屍網路來興風作浪。Palo Alto Networks建議所有客戶採用我們最新的安全防護方案。此外,所有人都應阻擋本研究報告中揭露的入侵指標(IoC)資料庫中所列Amnesia指令與控制伺服器(C2s)發出的所有流量。

總結

除了Amnesia殭屍網路形成的威脅,這隻惡意程式還反映當前物聯網/Linux殭屍網路威脅一些值得注意的趨勢:

  • 物聯網/Linux惡意程式開始採用一些經典技巧避開虛擬機器的偵測,甚至動手刪除虛擬機器
  • 物聯網/Linux惡意程式開始鎖定並攻擊物聯網裝置中已知的遠端程式碼執行漏洞。這些產品通常由規模較小的製造商所生產,廠商可能不會釋出修補程式。
  • 物聯網/Linux惡意程式也能影響VPS所佈建的Linux伺服器或公有雲上的伺服器。

在Amnesia案例中,由於惡意程式把C2網址直接寫在程式中,因此如果能儘快全面地封鎖這些網址,就能防範其他Mirai類型的攻擊。

防護策略

Palo Alto Networks目前已擋下這隻惡意程式所使用的網域,透過PAN-DB資料庫與Threat Prevention阻絕它發送指令與進行遠端控制的各種行為