【51CTO.com快譯】2016年9月，著名美國安全專家Brian Krebs 的博客KrebsOnSecurity.com與法國網絡托管企業OVH遭到了記錄性的DDoS攻擊。2016年10月21日星期五上午，美國網絡托管服務企業Dyn受到了DDoS攻擊，因此Airbnb、PayPal、Netflix、SoundCloud、Twitter、The New York Times等各大門戶網站均受到持續性威脅，攻擊者使用了可以讓IoT感染的名為Mirai的惡性代碼。韓國安博士月刊在2015年10月《IoT與嵌入式Linux惡性代碼》的期刊中提到了以攻擊物聯網設備為目標的Linux惡性代碼生成與基于嵌入式Linux設備的安全問題。

本篇文章將會介紹包括Mirai惡性代碼等在內的最近發生在物聯網中的惡性代碼。

如今各種操作系統在IoT市場競爭激烈，其中嵌入式Linux系統被廣泛使用。我們經常接觸的網絡路由器、機頂盒、NAS(Network Attached Storage)、數碼錄像機、IP照相機等都使用嵌入式Linux系統, 這些系統與臺式機相比雖然性能低下，但是與其他IoT產品相比，這些產品的性能最接近計算機，所以攻擊者常常會把這些IoT產品作為首選攻擊目標。

以嵌入式Linux系統為攻擊目標的惡性代碼在2008年第一次被報道，早期的嵌入式Linux惡性代碼使用MIPS對網絡路由器進行感染攻擊，在2012年發現的Aidra蠕蟲病毒可以對除了使用MIPS的網絡路由器以外的其他機頂盒等多種嵌入式Linux系統環境進行感染。很多嵌入式Linux惡性代碼雖然以DDoS攻擊為主要目標，但是在2013年發現的Darllo惡性代碼主要以挖掘類似電子貨幣或者其他虛擬貨幣為主要目標。2014年末，名為Lizard Squad 的組織通過Gafgyt變種升級進行的DDoS攻擊主要對游戲網站展開攻擊。2016年9月10月，Mirai惡性代碼引起了大規模的DDoS攻擊，攻擊對象主要為網絡路由器DVR(Digital Video Recorder)及IP相機等物聯網設備。

主要嵌入式Linux惡性代碼時間軸

其中對特定的物聯網設備進行感染的惡性代碼不斷進行變種升級，常見的惡性代碼有Aidra、Darlloz、Gafgyt、Mirai、Pnscan等。從這5種惡性代碼發現的狀況來看，2012年為36個，2013年為26個，2014年為348個，2015年為1180個，2016年為9125個。根據2016年10月31號截止的統計報告顯示，預計截止到年末將會總共發生超過1萬起惡性代碼攻擊，由此看來從2014年以后，惡性代碼以爆發性的增加趨勢肆意傳播。

主要IoT惡性代碼狀況

以下詳細介紹了五種惡性代碼

■Aidra， Lightaidra

Aidra惡性代碼在2012年2月初首次被發現，據推測該惡性代碼在2011年末完成制作，是最早的物聯網惡性代碼，現有的嵌入式Linux惡性代碼對使用MIPS的網絡路由器進行攻擊，這些惡性代碼不僅在MIPS程序中傳播，也在MIPSEL、PowerPC、SuperH等多種程序中傳播。

■Darlloz, Zollard

Darlloz惡性代碼在2013年10月被發現主要通過物聯網病毒蠕蟲感染攻擊英特爾×86、MIPS、Arm、PowerPC等系統。其他的惡性代碼一般都是以DDoS的形式進行攻擊，此惡性代碼主要以挖掘類似比特幣等虛擬貨幣為主要目標。

■Gafgyt

Gafgyt于2014年8月第一次被發現，特別是2014年末在Lizard Squard(Xbox Live)與PlayStation Network的DDoS攻擊發生后變得更加有名。2015年1月Gafgyt的源代碼被公開，目前Gafgyt也是存在最多變型的惡性代碼。

■Mirai

Mirai以日語“未來”的發音而命名，于 2016年5月第一次被發現。2016年10月初，在公開了其源代碼以后，使用此惡性代碼的變型越來越多。2016年9月對安全博客實施了大規模DDoS攻擊，2016年10月對Hosting企業Dyn進行了DDos攻擊，隨后Mirai變得更加有名。Mirai惡性代碼具有UDP Flood, Syn Flood, ACK Flood, GRE IP Flood等多種DDos攻擊功能。

■Pnscan

Pnscan惡性代碼于2015年8月被俄羅斯安全公司Dr. Web發現。此惡性代碼如果將ARM、MIPS、PowerPC系統感染的話就會對HNAP(Home Network Administration Protocol)與 CVE-2013-2678的漏洞進行攻擊。

目前還沒有針對基于嵌入式Linux系統的物聯網產品感染的惡性代碼進行診斷和修復的方法，因為沒有相關的殺毒軟件，即便存在這樣的殺毒軟件如果沒有廠商的幫助的話，此程序是很難進行設置的，因此提前預防惡性代碼更為重要。首先對網絡路由器或者NAS出廠設置密碼要進行及時更改，新設置的密碼要由數字與特殊文字組合起來使用，并周期性進行變更。惡性代碼中的Admin, adin1, guest, root, support等的賬號中主要使用的密碼如下：

安全性低的密碼賬號

Mirai惡性代碼中包含的密碼文字序列

攻擊者最近不停的尋找網絡路由器的漏洞，廠商也在不斷進行周期性固件升級更新。物聯網中不斷的產生其他各種各樣的漏洞，與網絡連接的設備都要使用最新的固件并不斷進行更新，很多情況下攻擊者都是惡意利用接觸網絡實行攻擊的，因此，不是必須的情況應該要關閉外部訪問功能。

2014年以后，嵌入式Linux惡性代碼中引起的DDoS攻擊在很多國家政府中發生了各種嚴重的問題。韓國未來創造科學院在2016年9月發布了《IoT共同安全指南》，該指南以IoT設備生命周期為基準，詳細記錄了15種安全要求事項和技術·管理注意事項。因此物聯網設備制造商應該根據該指南，以及KR-CERT公布的“路由器產品生產以及使用安全向導”和OWASP的“IoT安全向導”三項來設計和生產產品。

另一方面還要加強與網絡安全公司的合作，不斷探索安全產品，通過輿論宣傳物聯網存在的危險性。個人以及企業在購買物聯網設備時與價格相比一定要選擇安全性高的產品。

【原標題】IoT 환경 위협하는 ‘리눅스 악성코드 Top 5’(作者: 안랩보안전문가)

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】