雲端安全解決方案供應商 Barracuda 發表最新《 焦點報告 》,就針對物聯網(IoT)裝置的變種Interplanetary Storm (IPStorm)發出警示。 操控IPStorm惡意軟件的網絡犯罪集團現已釋出新變種,除影響Windows和Linux系統設備外,現亦針對Mac和Android裝置。該惡意軟件會製造殭屍網絡,Barracuda研究員估計現時全球大概有84個國家的13,500個系統設備已經遭受感染,而且數目正不斷增加。
大部分遭惡意軟件感染的系統設備位於亞洲:
- 香港(27%)
- 南韓(17%)
- 台灣(15%)
- 俄羅斯及烏克蘭(8%)
- 巴西(6%)
- 美國及加拿大(5%)
研究顯示香港受感染的設備數目最多。事實上,殭屍網絡(殭屍電腦)一直是香港一個主要的網絡安全威脅。根據香港電腦保安事故協調中心的《香港保安觀察報告》(HKCERT)顯示,單在2020年第二季就有5,952宗殭屍網絡個案發生。
IPStorm的新變體使用Go編寫,採用Go implementation of libp2p,並且與UPX包裝在一起。它使用SSH暴力攻擊(brute-force) 和開放的ADB端口進行傳播,將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向Shell功能,以及可以運行Bash Shell。
Barracuda 研究人員發現一旦系統設備受到感染,該惡意軟件具有多項獨特功能使其可繼續存在,並提供保護。
- 偵測誘捕系統 (Honeypot)——這個惡意軟件會在預設Shell 提示符(PS1)中搜尋字符串“ svr04”,該字符串曾被Cowrie 誘捕系統使用。
- 進行自動更新 —— 該軟件會對比正在運行的版本與最新的版本,並自動更新。
- 使用Go守護程序包 (Go daemon package) 安裝服務(系統/系統v)以保持繼續存在。
- 它會消滅在系統設備中對自己構成威脅的其他程式,例如除錯器和其他競爭性惡意軟件。
要防禦這類攻擊,Barracuda專家建議應採用以下幾項措施:
在所有裝置上正確設定SSH訪問權限,例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時,惡意軟件就可利用設定不當的部份進行攻擊。 這是路由器和物聯網裝置常見的問題,因此很容易成為該惡意軟件的目標。
使用雲端安全管理工具檢測SSH訪問權限,以防設定錯誤導致的災難性後果。如有需要,則提供額外的外層保障,與其將資源暴露在互聯網,不如部署啟用MFA的VPN連接,並按特定需要劃分網絡區隔,而非對IP網絡廣泛地授予訪問權限。