横行一时的Mirai僵尸网络,现在来了对手。据悉,一场围绕物联网设备控制权的大战正愈演愈烈,而主角除了Mirai的剩余僵尸网络,还有一个名为“Hajime”的新型蠕虫软件。
Mirai对手出现 蠕虫软件争夺物联网控制权
在过去几个月,Hajime获得迅速传播。安全机构通过对全球范围内的感染设备进行跟踪,发现受感染的主要国家为巴西和伊朗。尽管现在难以预计该点对点网络的规模,但保守估计,全球受到感染的设备数量已达到数万台,中国也是受到感染的市场之一。
去年10月,安全研究人员首次发现Hajime蠕虫。与Mirai(Linux.Gafgyt)相似,该蠕虫同样利用未采取保护措施的设备(远程登录端口处于打开状态并使用默认密码)进行传播。事实上,Hajime所使用的用户名及密码组合与Mirai完全相同,且仅比Mirai多两组。
与Mirai在命令和控制(C&C)服务器使用硬编码地址不同,Hajime建立在一个点对点网络之上。该网络中不存在C&C服务器地址,而是通过控制器,将命令模块推至点对点网络,然后将消息传播至所有点对点中,这导致此类网络的设计更加坚固,将其摧毁的难度也随之增加。
同Mirai相比,Hajime的行动更加隐秘,技术也更为先进。一旦感染设备,该蠕虫便会采取多个步骤,掩盖其运行的进程,并将相关文件隐藏于文件系统之中。蠕虫制造者可随时在网络中的任意受感染设备打开Shell脚本。由于该蠕虫使用了模块化代码,因此设计者可随时添加新的功能。从Hajime的代码可明显看出,设计者对该蠕虫病毒进行深入的开发与设计。
与众不同的是,该蠕虫软件也显示出能够改善所感染设备的安全性的潜质,因为其会推送自称白帽子的声明。姑且不论该制作者的目的如何,单从其可阻挡Mirai僵尸网络对物联网设备端口23、7547、5555和5358的访问,即可看出其将成为Mirai的有力竞争者。
那么是否可以针对该进行防护呢?修改物联网设备的默认密码是一定的,然后禁用Telnet登录并尽量使用SSH、同时可以选择禁用远程访问,以及其他一些不必要的功能和服务等等。