專家教路

全新IoT/Linux 惡意軟件攻擊數碼攝錄機並建立殭屍網絡

受漏洞影響的TVT Digital DVR設備分佈圖

Palo Alto Networks 威脅情報團隊Unit 42近日發現物聯網(IoT)/Linux殭屍網絡Tsunami的最新變種並命名為「Amnesia」。 Amnesia殭屍網絡允許攻擊者利用未經修補的遠程代碼針對數碼攝錄機( DVR )設備的漏洞作出攻擊,2016年3月此漏洞曾被公開過。這些DVR設備由TVT Digital 生產並通過70多間品牌分銷至全球。根據Palo Alto的掃描數據 (見圖1),全球約有227,000台設備受此漏洞影響,最多設備受影響的國家和地區包括:台灣、美國、以色列、土耳其和印度。

此外,我們認為Amnesia是首個採用虛擬機器逃脫技術來避開惡意軟件分析沙盒的Linux惡意軟件。通常虛擬機器逃脫技術與Microsoft Windows和Google Android惡意軟件相關。同樣地,Amnesia會探測它是否正在VirtualBox、VMware或QEMU虛擬機器中運行,一旦探測出這些運行環境,Amnesia便會刪除檔案系統中的所有檔案,從而清空虛擬Linux系統,這不但會影響到惡意軟件分析沙盒的正常運作,還會影響到某些VPS或公共雲中的QEMU Linux伺服器。

Amnesia利用遠程代碼對系統漏洞進行掃描、定位和攻擊,攻擊成功後Amnesia會獲得對設備的全盤掌控。攻擊者可操縱Amnesia殭屍網絡發動大規模的DDoS攻擊,如同2016年秋季Palo Alto發現的Mirai殭屍網絡攻擊一樣。

儘管Amnesia殭屍網絡尚未被用作發動大規模攻擊之用,但從Mirai殭屍網絡攻擊事件便已可窺見遭受大規模IoT殭屍網絡攻擊可帶來的嚴重性。 Palo Alto Networks建議客戶及時升級防護措施。

(作者: Palo Alto Networks 威脅情報團隊Unit 42分析員Claud Xiao, Cong Zheng, Yanhui Jia)

關於Palo Alto Networks

Palo Alto Networks 為引領網絡安全新時代的新一代安全企業,可為全球數以萬計的企業保護應用,免受網絡威脅。Palo Alto Networks極具顛覆性的安全平台所提供的安全性遠高於傳統或單點產品,採用創新方法及高度差異化的網絡威脅防禦功能,確保企業營運安全,並保護企業最重要的資產。

相關文章