Barracuda《焦點報告》:針對物聯網 (IoT) 裝置的新型 IPStorm 變體 — 香港受感染的物聯網裝置最多,佔全球27%

Barracuda《焦點報告》 

針對物聯網裝置的新 Interplanetary Storm 變體 

 

領導業界的雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》,就針對物聯網IoT裝置的新Interplanetary Storm IPStorm變體發出警示。 

 

操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變體,除影響WindowsLinux系統設備外,現亦針對MacAndroid裝置。該惡意軟件會製造殭屍網絡Barracuda研究員估計現時全球大概有84個國家的13,500系統備已經遭感染,而且數目正不斷增   

 

大部份遭惡意軟件感染的系統設備位於亞洲:  

 

  • 27%的受感染系統設備在香港 
  • 17%在南韓 
  • 15%在台灣 
  • 8%在俄羅斯和烏克蘭 
  • 6%在巴西 
  • 5%在美國和加拿大 
  • 3%在中國 
  • 3%在瑞典 
  • 其他國家佔1%或以下 

  

研究顯示香港受感染的設備數目最多。事實上,殭屍網絡(殭屍電腦)一直是香港一個主要網絡安全威脅。根據香港電腦保安事故協調中心的香港保安觀察報告HKCERT [1]顯示,單在2020年第二季就有5,952宗殭屍網絡個案發生 

 

以下是關於上述威脅的資料、偵測和應變措施 

 

 

重點威脅 

 

Interplanetary Storm惡意軟件的新變體  這種新惡意軟件變體與另一種點對點(P2P)的惡意軟件FritzFrog相似,都是經由對SSH伺服器發動字典攻擊(Dictionary Attack)進入系統設備。它亦可以經由開放Android Debug Bridge (Android 調試橋)伺服器取得進入途徑。這個惡意軟件會偵測受感染系統設備的中央處理器(CPU)結構和操作系統(OS,亦可在常見於路由器和物聯網裝置上運行的ARM架構(ARM-based 電子設備 

 

這個惡意軟件被稱為Interplanetary Storm,是因為它使用InterPlanetary File System (IPFS) p2p network隱含libp2p implementation令受感染的節點直接或經由其他節點接力散播 

 

Interplanetary Storm 的第一個變體針對Windows 系統設備,20195月被發現。20206月又發現了另一可以攻擊Linux 設備的。至於今次這個變體,則由Barracuda研究員在8月底首次偵測到,主要目標為物聯網裝置,例如使用Android操作系統的電視和使用Linux系統設備,包括設定不當SSH服務路由器。HKCERT2019年亦曾發出警告,網絡攝影機為本港最被廣泛使用的物聯網裝置,但很多家用網絡攝影機安全的設定[2]  

 

雖然這個惡意軟件所建立的殭屍網絡還沒有清晰的功能,它為幕後操作者提供進入受感染系統設備的一道後門,令他們往後可進行加密挖礦分布式拒絕服務攻擊(DDoS)或其他大規模的攻擊。  

  

詳情 

 

IPStorm變體使用Go編寫,Go implementation of libp2p,並且與UPX包裝在一起。它使用SSH暴力攻擊(brute-force) 和開放的ADB端口進行傳播,將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向Shell功能,以及可以運行Bash Shell 

 

Barracuda 研究人員發現一旦系統設備受到感染,該惡意軟件具有多項獨特功能使其可繼續存在並提供保護。 

 

  • 偵測誘捕系統 (Honeypot)——這個惡意軟件會在預設Shell 提示符(PS1)中搜尋字符串“ svr04”,該字符串曾被Cowrie 誘捕系統使用。  
  • 進行自動更新 —— 軟件會對比正在運行的版本與最新的版本,並自動更新。 
  • 使用Go守護程序包 (Go daemon package安裝服務(系統/系統v)以保持繼續存在。 
  • 它會消滅在系統設備中對自己構成威脅的其他程式,例如除錯競爭性惡意軟件。會透找命令搜索以下字串來達到目的    
  • “/data/local/tmp” 
  • “rig”  
  • “xig” 
  • “debug” 
  • “trinity” 
  • “xchecker” 
  • “zypinstall” 
  • “startio” 
  • “startapp” 
  • “synctool” 
  • “ioservice” 
  • “start_” 
  • “com.ufo.miner” 
  • “com.google.android.nfcguard” 
  • “com.example.test” 
  • “com.example.test2” 
  • “saoas” 
  • “skhqwensw” 

 

有關詳細,請參閱結尾的附錄。 

 

  

如何防禦這類攻擊 

 

以下幾項措施可以防禦新變體惡意軟件: 

 

  • 在所有裝置上正確設定SSH訪問權限,例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時,惡意軟件可利用設定不當的部份進行攻擊 這是路由器和物聯網裝置常見的問題因此很容易成為該惡意軟件的目標。

  • 使用雲安全管理工具檢測SSH訪問權限以防設定錯誤導難性後果。如有需要,則提供額外的外層保障,與其將資源暴露在聯網,不如部署啟用MFAVPN連接特定需要劃分網絡,而非對IP網絡廣泛授予訪問權限。 

     

 

有關報告詳情,可於https://blog.barracuda.com/2020/10/01/threat-spotlight-new-interplanetary-storm-variant-iot/下載。 

 

 

關於 Barracuda 

 

Barracuda相信所有機構都能夠以最容易的方式購買、安裝和使用機構級的雲端安全解決方案。我們為客戶提供可以與他們的業務發展旅程一起成長的創新方案去保護電郵、網絡、數據和應用方案。Barracuda受到全球超過200,000間機構機構的信頼,在已知和未知風險的情況下受到保護,令他們可以專注令業務更上層樓。如欲得到更多資料,請瀏覽barracuda.com 

 

Barracuda Networks, Barracuda 以及Barracuda Networks 商標是美國和其他國家的商標或註册商標。 

數碼領域

思科最新調查:僅9% 港企充分把握人工智能潛在機遇

數碼領域
2024-11-16 0
思科最新調查:僅9% 港企充分把握人工智能潛在機遇 港企人工智能準備度不足  充分準備比率明顯低於去年數字(25%) 新聞概要: 亞太區企業人工智能準備度情況不理想,僅9% 香港企業充分把握人工智能潛在機遇,較去年的25% 大幅下降。 各企業正全力投資人工智能,近半(48%)香港企業將目前10% 至 ...

XTransfer 新加坡金融科技節舞台演講獲關注

數碼領域
2024-11-16 0
XTransfer 新加坡金融科技節舞台演講獲關注 展示金融風控技術、積極探討區內合作機會 XTransfer,全球領先及中國第一的B2B跨境貿易支付平台,上週於「新加坡金融科技節2024」(Singapore Fintech Festival 2024),現場獲得參與者極大關注,展位參觀人潮駱驛不 ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料