物聯(lián)網(wǎng)新威脅—比Mirai更復(fù)雜的Hajime蠕蟲
責(zé)編:mhshi |2016-10-19 11:00:02安全研究人員發(fā)現(xiàn)了一款新型物聯(lián)網(wǎng)蠕蟲,該蠕蟲似乎與Mirai惡意軟件共享行為。因?yàn)镸irai日語的意思是“未來”,研究人員將新變種命名為“Hajime”,日語的意思是“起點(diǎn)”。Rapidity Networks的安全研究人員Sam Edwards和Ioannis Profetis發(fā)現(xiàn)了Hajime。
研究人員搜索Mirai時(shí)發(fā)現(xiàn)了Hajime
周末發(fā)布的Hajime活動(dòng)技術(shù)報(bào)告中,Edwards和Profetis解釋稱,看到Mirai開發(fā)人員發(fā)布源代碼后,他們潛心調(diào)查Mirai。這兩名研究人員想研究Mirai以及其它能訪問源代碼的黑客針對Mirai的最終用途。
為了搜集Mirai僵尸網(wǎng)絡(luò)的情報(bào),他們在全球設(shè)置蜜罐服務(wù)器。
10月5日,也就是Mirai代碼網(wǎng)上泄漏后三天,這兩名研究人員發(fā)現(xiàn)Mirai感染,但經(jīng)仔細(xì)查看,卻發(fā)現(xiàn)是全新的惡意軟件。
這就是發(fā)現(xiàn)Hajime的全過程。Hajime是一款物聯(lián)網(wǎng)蠕蟲,其傳播方式與Mirai一致,但看起來卻是一款全新的惡意軟件,盡管兩者之間存在某些共享行為。
Hajime通過蠻力攻擊自行傳播
研究人員表示,Hajime使用三級(jí)感染機(jī)制并自行傳播。Stage 0發(fā)生在已被感染的系統(tǒng)上,Hajime從這里開始掃描隨機(jī)IPv4地址。
Hajime在端口23發(fā)起蠻力攻擊,試圖通過源代碼中硬編的一系列用戶和密碼登錄另一端。如果IP地址的端口23未打開,或蠻力攻擊失敗,Hajime將移至新IP。
如果連接成功,Hajime將執(zhí)行以下四個(gè)命令:
enable
system
shell
sh
/bin/busybox ECCHI
這些命令允許該蠕蟲告知其是否感染了Linux系統(tǒng)。Rapidity的研究人員表示,Hajime還能攻擊以下平臺(tái):ARMv5、ARMv7、Intel x86-64、MIPS和little-endian。
使用三級(jí)感染系統(tǒng)
Hajime進(jìn)入Stage 1,并開始下載外部二進(jìn)制—484字節(jié)ELF程序。ELF文件時(shí)Linux二進(jìn)制文件,與Windows上的EXE文件類似。
Hajime蠕蟲啟動(dòng)該二進(jìn)制只有一個(gè)目的,打開一個(gè)連接到攻擊者服務(wù)器,并將收到的字節(jié)寫入新的二進(jìn)制,當(dāng)數(shù)據(jù)傳輸完成時(shí)便執(zhí)行新二進(jìn)制。
研究人員稱,Stage 2二進(jìn)制使用DHT協(xié)議連接到P2P僵尸網(wǎng)絡(luò),通過uTP協(xié)議下載進(jìn)一步有效荷載(二進(jìn)制文件、mdoules)。DHT和uTP均為BitTorrent客戶端的核心協(xié)議。
Hajime與其它物聯(lián)網(wǎng)惡意軟件類似,但卻不同
Hajime的操作方式比Mirai更勝一籌,似乎還借鑒了許多其它物聯(lián)網(wǎng)惡意軟件的技巧。
Hajime使用DHT連接到P2P僵尸網(wǎng)絡(luò),跟Rex類似;使用內(nèi)置的用戶名和密碼列表蠻力攻擊隨機(jī)IP并自行傳播,這一點(diǎn)與Mirai類似;此外,使用的多級(jí)感染機(jī)制與NyaDrop類似。
不同點(diǎn)在于Hajime用C語言編寫,而不是Go(Rex);使用的是P2P網(wǎng)絡(luò),而不是直接C&C服務(wù)器連接(Mirai);能在大量平臺(tái)運(yùn)作,也不僅僅是MIPS(NyaDrop)。因此,Hajime似乎吸納其它物聯(lián)網(wǎng)惡意軟件的優(yōu)點(diǎn),比今天我們看到的物聯(lián)網(wǎng)惡意軟件復(fù)雜得多。
Hajime以網(wǎng)絡(luò)攝像機(jī)、DVR和CCTV系統(tǒng)為目標(biāo)
基于Hajime源代碼中包含的硬編碼憑證,Hajime以路由器、DVR和CCTV系統(tǒng)為目標(biāo),就如同Mirai和NyaDrop。
更具體而言,Hajime的目標(biāo)設(shè)備由Dahua Technologies(大華技術(shù))、ZTE(中興)以及購買XiongMai Technologies(雄邁科技)白色標(biāo)簽DVR系統(tǒng)的其它公司生產(chǎn)制造。
為了避免Hajime蠕蟲劫持設(shè)備,Rapidy Networks提出了三種技術(shù)檢測并緩解感染
1.阻止任何包含Hajime關(guān)鍵交換信息的UDP數(shù)據(jù)包
2.阻止Stage 1中使用的TCP端口4636
3.阻止Telnet會(huì)話(執(zhí)行”/bin/busybox ECCHI”shell命令)的任何流量
對于Hajime的幕后黑手,Rapidity研究人員表示:“文件時(shí)間戳經(jīng)分析后表明,該蠕蟲開發(fā)人員在協(xié)調(diào)世界時(shí)UTC 15:00-23:00最為活躍,UTC 00:00-05:00停止活動(dòng)。這個(gè)時(shí)間大致符合歐洲的睡眠模式。”
另外,研究人員發(fā)現(xiàn)的證據(jù)表明,Hajime工作開始于2013年,但該蠕蟲今年9月才發(fā)布。
Edwards和Profetis補(bǔ)充道,雖然Hajime和Mirai在傳播上使用的攻擊模式極其相似,但實(shí)際掃描和傳播邏輯似乎借鑒了qBot。“如果上述攻擊發(fā)起日期正確【格林威治標(biāo)準(zhǔn)時(shí)間2016年9月26日,星期一08:41:54】,那么,Hajime在Mirai源代碼公布前幾天開始行動(dòng),也就不可能包含任何Mirai代碼。”
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧