Persirai Mirai 殭屍網路 物聯網 IoT

IoT殭屍網路來襲 企業宜趁早擬妥應對之道

2018-01-17
所有研究都顯示利用物聯網(IoT)裝置構築的殭屍網路,將成為未來地下網路的基礎設施。以往,大規模殭屍網路是在主機環境構築,其所需的資源非常昂貴。物聯網裝置改變了這一切。今天,當攻擊者破解製造商物聯網裝置(例如一台DVR)的管理者帳密後,就能夠立即取得數千台裝置的存取權,而這一切只需要付出少量的心力和金錢就能做到。
所有研究都顯示利用物聯網(IoT)裝置構築的殭屍網路,將成為未來地下網路的基礎設施。由於物聯網裝置容易被駭,並且帶來嚴重的衝擊效應,因此F5 Labs持續研究,追蹤其規模、特定攻擊者、目標、裝置和方法,藉由報告內容希望呼籲企業和安全社群面對這項威脅的嚴重性。F5 Labs一直深入探索IoT「冰山」,並發現攻擊者獵捕IoT裝置的活動有了巨幅的成長(2016年達到1,400%成長率),同時也發現攻擊者構築足以發動Mirai規模(1 Tbps)DDoS攻擊的超大規模殭屍網路。

以往,大規模殭屍網路是在主機環境構築,其所需的資源(伺服器、記憶體、位址空間、頻寬)非常昂貴。物聯網裝置改變了這一切。今天,當攻擊者破解製造商物聯網裝置(例如一台DVR)的管理者帳密後,就能夠立即取得數千台裝置的存取權,而這一切只需要付出少量的心力和金錢就能做到。有這麼輕鬆的方法,攻擊者何必在主機環境投入昂貴的資源構築殭屍網路?有了源源不絕的物聯網裝置,將不難預期可能有越來越多殭屍網路,或者說是專門用物聯網裝置構築的殭屍網路出現。

Mirai活動地圖

讓我們進一步檢視有關Mirai和Persirai(利用2017年4月25日公布之CVE-2017-8225漏洞來入侵裝置的新物聯網病毒)的攻擊活動(以6月30日資料為基礎)。以下提供了有關Mirai掃描器、載入器(Loader)和惡意軟體系統,以及Persirai感染的網路攝影機和指揮控制伺服器(Command and Control,C&C)全球地圖。

從圖1全球分布圖中,可以看出掃描器和載入器系統大量集中於歐洲、中國、印度和美東地區。Mirai掃描器(紅色部分)的用途是在網際網路搜尋可入侵的裝置。一旦發現後,掃描器將把那些裝置的IP位址、連接埠號碼以及認證憑證回傳至Mirai的載入器系統。


▲圖1 Mirai掃描器和載入器系統大量集中於歐洲、中國、印度和美東地區。

整個亞洲的載入器和掃描器主要分布在中國、南韓、越南、台灣和印度(圖2)。印尼和菲律賓也有一些載入器和掃描器的集中點。亞洲Mirai二進碼主機的分布局限在香港、中國(北京和Degen)、南韓(首爾和釜山)、台灣台北、日本(東京和福岡)、越南胡志明市、新加坡、泰國曼谷和印度班加羅爾。


▲圖2 亞洲的載入器和掃描器主要分布在中國、南韓、越南、台灣和印度。

雖然非洲大陸的Mirai活動有限,但值得觀察活動地區。非洲數量最多的是掃描器,主要分布在整個大陸的沿岸城市並且集中於加納利群島、摩洛哥、埃及和南非。載入器也同樣主要分布在沿岸城市,包括摩洛哥、埃及、南非和加納利群島。非洲只有二處惡意程式二進碼主機,設在納米比亞和塞席爾群島。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!