Barracuda《焦點報告》:
針對物聯網裝置的新型 Interplanetary Storm 變體
領導業界的雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》,就針對物聯網(IoT)裝置的新型Int erplanetary Storm (IPStorm)變體發出警示。
操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變體,
大部份遭到惡意軟件感染的系統設備位於亞洲:
- 27%的受感染系統設備在香港
- 17%在南韓
- 15%在台灣
- 8%在俄羅斯和烏克蘭
- 6%在巴西
- 5%在美國和加拿大
- 3%在中國
- 3%在瑞典
- 其他國家佔1%或以下
研究顯示香港受感染的設備數目最多。事實上,殭屍網絡(
以下是關於上述威脅的資料、偵測和應變措施。
重點威脅
Interplanetary Storm惡意軟件的新型變體 — 這種新型惡意軟件變體與另一種點對點(P2P)的惡意軟件Fri
這個惡意軟件被稱為Interplanetary Storm,是因為它使用InterPlanetary File System (IPFS) p2p network和隱含libp2p implementation,
Interplanetary Storm 的第一個變體針對Windows 系統設備,於2019年5月被發現。2020年6月又發現了另一
雖然這個惡意軟件所建立的殭屍網絡還沒有清晰的功能,但它為幕後
詳情
IPStorm的新變體使用Go編寫,採用Go implementation of libp2p,並且與UPX包裝在一起。它使用SSH暴力攻擊(
Barracuda 研究人員發現一旦系統設備受到感染,
- 偵測誘捕系統 (Honeypot)——這個惡意軟件會在預設Shell 提示符(PS1)中搜尋字符串“ svr04”,該字符串曾被Cowrie 誘捕系統使用。
- 進行自動更新 —— 該軟件會對比正在運行的版本與最新的版本,並自動更新。
- 使用Go守護程序包 (Go daemon package) 安裝服務(系統/系統v)以保持繼續存在。
- 它會消滅在系統設備中對自己構成威脅的其他程式,例如除錯器和其
他競爭性惡意軟件。它會透過尋找命令搜索以下字串來達到目的:
- “/data/local/tmp”
- “rig”
- “xig”
- “debug”
- “trinity”
- “xchecker”
- “zypinstall”
- “startio”
- “startapp”
- “synctool”
- “ioservice”
- “start_”
- “com.ufo.miner”
- “com.google.android.nfcguard”
- “com.example.test”
- “com.example.test2”
- “saoas”
- “skhqwensw”
有關詳細,請參閱結尾的附錄。
如何防禦這類攻擊
以下幾項措施可以防禦新型變體惡意軟件:
- 在所有裝置上正確設定SSH訪問權限,例如使用驗證碼代替密碼會
更安全。當用戶使用密碼登入時,惡意軟件就可利用設定不當的部份 進行攻擊。 這是路由器和物聯網裝置常見的問題,因此很容易成為該惡意軟件的 目標。 - 使用雲端安全管理工具檢測SSH訪問權限,以防設定錯誤導致的災
難性後果。如有需要,則提供額外的外層保障,與其將資源暴露在互 聯網,不如部署啟用MFA的VPN連接,並按特定需要劃分網絡區 隔,而非對IP網絡廣泛地授予訪問權限。
有關報告詳情,可於https://blog.
關於 Barracuda
Barracuda相信所有機構都能夠以最容易的方式購買、
Barracuda Networks, Barracuda 以及Barracuda Networks 商標是美國和其他國家的商標或註册商標。
發表迴響