暴走時評：去年物聯網僵尸網絡Mirai通過DDoS攻擊控制用戶的物聯網設備，使多個全球最大網站發生故障。最近IBM安全管理服務更是發現該網絡嘗試利用物聯網設備中積累的算力進行比特幣挖礦。配備新設備升級后的網絡包含多個版本，其中ELF Linux/Mirai具有獨特功能，可以執行“SQL注入攻擊”以及所謂的“蠻力攻擊”。只是目前還沒有發現它有成功案例，只是其可能性引起擔憂，也許會使比特幣礦工聯合對抗。

翻譯：Annie_Xu

還記得物聯網僵尸網絡嗎？就是去年秋天短時關閉多個全球最大網站的那個。

現在又發現了新的版本，它除了可以發起拒絕服務攻擊（DDoS），還配備了比特幣挖礦設備。

在數字時代，黑客是可能感染并控制不安全物聯網設備的，比如相機等聯網的設備。然后可以將這些設備連接到僵尸網絡，利用其組合功能向網站或者互聯網結構發送垃圾信息，降低運行速度或者迫使其下線。

去年秋天的一連串攻擊就是這樣發生的，利用了惡意軟件Mirai。

之后很快該軟件就開源了，讓安全工程師頗為沮喪，自此出現了不同的僵尸網絡迭代版本，增加了新的功能。

IBM網絡安全研究部門IBM X-Force調查顯示，其中一個叫作ELF Linux/Mirai已經進行多日的比特幣挖礦。似乎一些不知名的黑客在嘗試利用物聯網設備中積累的算力獲取該數字貨幣，并獲得現金。

Dave McMillen

IBM安全管理服務（Managed Security Services）高級威脅研究員及該報告作者Dave McMillen說，這可能是物聯網僵尸網絡未來用例的預兆。

“鑒于其可能涉及的設備規模，將來這個ELF/Mirai版本可能會吸引其他人”。

他說，然而該僵尸網絡似乎還沒有挖礦成功，公司安全團隊認為它更像是對未來可能性的預期。

挖礦異常偵測

那么事情經過如何？IBM如何發現該僵尸網絡挖礦設備的？

McMillen解釋說：

“我們在IBM X-Force監控的客戶端環境數據中發現命令行輸入活動的明顯增加，并進行了深入調查”。

安全團隊看到ELF 64字節二進制文件的流量異常增加50%，但是第八天便失敗了。

該團隊分解該二進制文件發現Linux版本的惡意軟件類似典型的Windows版本。

“多個工具發現它是從屬礦工，然而我們仍然在調查該版本的其他特性”。

盡管目前還有很多其他僵尸網絡版本，ELF Linux/Mirai有獨特的功能，可以執行“SQL注入攻擊”（SQL injection，控制數據庫的方法）以及所謂的“蠻力攻擊”（brute force）。

但是Linux版本還有新的功能——比特幣挖礦元件。

未來的威脅？

IBM報告猜測僵尸網絡發明者可能嘗試利用被攻擊的物聯網設備進行比特幣挖礦，以此獲得利益。

一篇博客解釋，鑒于Mirai一次性感染數千臺設備的能力，比特幣礦工可能結成大型礦工聯盟。我們還沒有確定該功能，但是發現這是有趣又令人擔憂的可能性。

“一個可能性是，盡管Mirai僵尸網絡目前還在等待進一步指示，但可能進入挖礦模式”。

盡管這個想法是預測性的，該報告指出了一個事實，那就是 比特幣被用于網絡犯罪。比如勒索軟件中用戶數據被加密，并索取資金；因為比特幣是去中心化的，被看做是更加保護隱私性的貨幣。

該技術還會有其他更具利益的用例，比如最近一個公司宣布搭建比特幣僵尸網絡來增加物聯網設備的安全，將其結合加密貨幣技術還可能降低相關網絡活動獲利的可能性。

簡單防御

因此用戶如何保護聯網設備，不變成比特幣挖礦的奴隸呢？

Mirai惡意軟件利用十分簡單的攻擊向量。

問題是許多物聯網設備都要預設密碼，而且很多用戶不會主動修改密碼，攻擊者只需要找到默認密碼就可以攻擊這些設備。

McMillen的建議是讓用戶修改密碼，盡管他希望物聯網公司可以主動采取措施。

“制造商可以尋找安全管理這些密碼的方式，也許可以強制用戶修改密碼或者隨機設置默認登錄方式”。

原文： http://chainb.com/?P=Cont&id=4084