Barracuda《焦點報告》：針對物聯網 (IoT) 裝置的新型 IPStorm 變體 — 香港受感染的物聯網裝置最多，佔全球27%

Barracuda《焦點報告》： 

針對物聯網裝置的新型 Interplanetary Storm 變體 

領導業界的雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》，就針對物聯網（IoT）裝置的新型Interplanetary Storm （IPStorm）變體發出警示。 

操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變體，除影響Windows和Linux系統設備外，現亦針對Mac和Android裝置。該惡意軟件會製造殭屍網絡，Barracuda研究員估計現時全球大概有84個國家的13,500個系統設備已經遭到感染，而且數目正不斷增加。   

大部份遭到惡意軟件感染的系統設備位於亞洲：  

• 27%的受感染系統設備在香港 
• 17%在南韓 
• 15%在台灣 
• 8%在俄羅斯和烏克蘭 
• 6%在巴西 
• 5%在美國和加拿大 
• 3%在中國 
• 3%在瑞典 
• 其他國家佔1%或以下 

研究顯示香港受感染的設備數目最多。事實上，殭屍網絡（殭屍電腦）一直是香港一個主要的網絡安全威脅。根據香港電腦保安事故協調中心的《香港保安觀察報告》（HKCERT） [1]顯示，單在2020年第二季就有5,952宗殭屍網絡個案發生。 

以下是關於上述威脅的資料、偵測和應變措施。 

重點威脅 

Interplanetary Storm惡意軟件的新型變體 — 這種新型惡意軟件變體與另一種點對點（P2P）的惡意軟件FritzFrog相似，都是經由對SSH伺服器發動字典攻擊（Dictionary Attack）進入系統設備。它亦可以經由開放的Android Debug Bridge (Android 調試橋）伺服器取得進入途徑。這個惡意軟件會偵測受感染系統設備的中央處理器（CPU）結構和操作系統（OS），亦可在常見於路由器和物聯網裝置上運行的ARM架構（ARM-based） 電子設備。 

這個惡意軟件被稱為Interplanetary Storm，是因為它使用InterPlanetary File System (IPFS) p2p network和隱含libp2p implementation，令受感染的節點直接或經由其他節點接力散播。 

Interplanetary Storm 的第一個變體針對Windows 系統設備，於2019年5月被發現。2020年6月又發現了另一個可以攻擊Linux 設備的變體。至於今次這個變體，則由Barracuda研究員在8月底首次偵測到，主要目標為物聯網裝置，例如使用Android操作系統的電視和使用Linux的系統設備，包括設定不當的SSH服務路由器。HKCERT於2019年亦曾發出警告，指網絡攝影機為本港最被廣泛使用的物聯網裝置，但很多家用網絡攝影機卻缺乏安全的設定[2]。  

雖然這個惡意軟件所建立的殭屍網絡還沒有清晰的功能，但它為幕後操作者提供進入受感染系統設備的一道後門，令他們往後可進行加密挖礦、分布式拒絕服務攻擊(DDoS)或其他大規模的攻擊。  

詳情 

IPStorm的新變體使用Go編寫，採用Go implementation of libp2p，並且與UPX包裝在一起。它使用SSH暴力攻擊(brute-force) 和開放的ADB端口進行傳播，將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向Shell功能，以及可以運行Bash Shell。 

Barracuda 研究人員發現一旦系統設備受到感染，該惡意軟件具有多項獨特功能使其可繼續存在，並提供保護。 

• 偵測誘捕系統 (Honeypot)——這個惡意軟件會在預設Shell 提示符（PS1）中搜尋字符串“ svr04”，該字符串曾被Cowrie 誘捕系統使用。  
• 進行自動更新 —— 該軟件會對比正在運行的版本與最新的版本，並自動更新。 
• 使用Go守護程序包 (Go daemon package) 安裝服務（系統/系統v）以保持繼續存在。 
• 它會消滅在系統設備中對自己構成威脅的其他程式，例如除錯器和其他競爭性惡意軟件。它會透過尋找命令搜索以下字串來達到目的：    

• “/data/local/tmp” 
• “rig”  
• “xig” 
• “debug” 
• “trinity” 
• “xchecker” 
• “zypinstall” 
• “startio” 
• “startapp” 
• “synctool” 
• “ioservice” 
• “start_” 
• “com.ufo.miner” 
• “com.google.android.nfcguard” 
• “com.example.test” 
• “com.example.test2” 
• “saoas” 
• “skhqwensw” 

有關詳細，請參閱結尾的附錄。 

如何防禦這類攻擊 

以下幾項措施可以防禦新型變體惡意軟件： 

• 在所有裝置上正確設定SSH訪問權限，例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時，惡意軟件就可利用設定不當的部份進行攻擊。 這是路由器和物聯網裝置常見的問題，因此很容易成為該惡意軟件的目標。

• 使用雲端安全管理工具檢測SSH訪問權限，以防設定錯誤導致的災難性後果。如有需要，則提供額外的外層保障，與其將資源暴露在互聯網，不如部署啟用MFA的VPN連接，並按特定需要劃分網絡區隔，而非對IP網絡廣泛地授予訪問權限。 

   

有關報告詳情，可於https://blog.barracuda.com/2020/10/01/threat-spotlight-new-interplanetary-storm-variant-iot/下載。 

關於 Barracuda 

Barracuda相信所有機構都能夠以最容易的方式購買、安裝和使用機構級的雲端安全解決方案。我們為客戶提供可以與他們的業務發展旅程一起成長的創新方案去保護電郵、網絡、數據和應用方案。Barracuda受到全球超過200,000間機構機構的信頼，在已知和未知風險的情況下受到保護，令他們可以專注令業務更上層樓。如欲得到更多資料，請瀏覽barracuda.com 

Barracuda Networks, Barracuda 以及Barracuda Networks 商標是美國和其他國家的商標或註册商標。