鎖定DVR的新型物聯網/Linux惡意程式在各地擴散建殭屍網路

Unit 42 的研究人員辨識出“Tsunami”殭屍網路的物聯網/Linux變種程式，我們稱它為 “Amnesia”。Amnesia殭屍網路的目標鎖定未安裝修補程式的遠端程式碼執行漏洞，這項弱點已在一年前的2016年3月被公開揭露，存在於由中國同為數碼(TVT Digital)公司所生產的數位錄影機(DVR)，全球共有超過70家廠商推出由該公司代工生產的貼牌產品。根據如圖1所示的掃瞄資料，這項漏洞影響全球約22.7萬部裝置，出現被入侵案例最多的國家包括台灣、美國、以色列、土耳其、印度。

此外，我們相信Amnesia是第一隻採用虛擬機器入侵技巧破解沙箱分析機制的Linux惡意程式。虛擬機器入侵技巧一般來說比較常見於微軟Windows與谷歌Android平台的惡意程式。手法和這些程式相似的Amnesia會試著偵測自己能否在VirtualBox、VMware 或QEMU等虛擬機器上運行，一旦它偵測到這些環境，就會刪除檔案系統中的所有檔案，藉此抹除虛擬化Linux系統。這樣的動作不僅影響Linux惡意程式碼的沙箱分析，也會影響在VPS虛擬專屬主機或公有雲上運行的QEMU虛擬Linux伺服器。

Amnesia利用這種遠端程式碼執行的漏洞，著手掃瞄、定位、然後攻擊這些系統。一旦得手，Amnesia就能取得該裝置的完全控制權。攻擊者能利用Amnesia殭屍網路發動類似2016年秋天Mirai殭屍網路攻擊的分散式阻斷服務DDoS攻擊。雖然這項漏洞早在一年前就被發現，但我們盡最大的努力，至今還是無法找到更新手法來修補這個漏洞。

雖然至今尚未發現有人利用Amnesia殭屍網路來發動大規模攻擊，但根據Mirai殭屍網路攻擊的特性，這類攻擊手法確實有能力建立大規模IoT殭屍網路來興風作浪。Palo Alto Networks建議所有客戶採用我們最新的安全防護方案。此外，所有人都應阻擋本研究報告中揭露的入侵指標(IoC)資料庫中所列Amnesia指令與控制伺服器(C2s)發出的所有流量。

總結

除了Amnesia殭屍網路形成的威脅，這隻惡意程式還反映當前物聯網/Linux殭屍網路威脅一些值得注意的趨勢:

• 物聯網/Linux惡意程式開始採用一些經典技巧避開虛擬機器的偵測，甚至動手刪除虛擬機器
• 物聯網/Linux惡意程式開始鎖定並攻擊物聯網裝置中已知的遠端程式碼執行漏洞。這些產品通常由規模較小的製造商所生產，廠商可能不會釋出修補程式。
• 物聯網/Linux惡意程式也能影響VPS所佈建的Linux伺服器或公有雲上的伺服器。

在Amnesia案例中，由於惡意程式把C2網址直接寫在程式中，因此如果能儘快全面地封鎖這些網址，就能防範其他Mirai類型的攻擊。

防護策略

Palo Alto Networks目前已擋下這隻惡意程式所使用的網域，透過PAN-DB資料庫與Threat Prevention阻絕它發送指令與進行遠端控制的各種行為