影響逾 20 萬部 DVR 裝置,變種 Tsunami 針對物聯裝置建殭屍網路

作者 | 發布日期 2017 年 04 月 17 日 7:07 | 分類 物聯網 , 資訊安全 follow us in feedly

Palo Alto Networks 威脅情報團隊近日發現物聯網 / Linux 殭屍網路 Tsunami 的最新變種並命名為「Amnesia」。 Amnesia 殭屍網路允許攻擊者利用未經修補的遠程程式碼針對數位攝錄機 (DVR) 設備的漏洞做出攻擊,2016 年 3 月此漏洞曾被公開過。這些 DVR 設備由 TVT Digital 生產並透過 70 多間品牌分銷至全球,全球約有 227,000 台設備受此漏洞影響。




團隊 Unit 42 認為,Amnesia 是首個採用虛擬主機逃脫技術來避開惡意軟體分析沙盒的 Linux 惡意軟體。通常虛擬機器逃脫技術與 Microsoft Windows 和 Google Android 惡意軟體相關。

Amnesia 會探測它是否正在 VirtualBox、VMware 或 QEMU 虛擬主機中運作,一旦探測出這些運作環境,Amnesia 便會刪除檔案系統中的所有檔案,從而清空虛擬 Linux 系統,這不但會影響到惡意軟體分析沙盒的正常運作,還會影響到某些 VPS 或公共雲中的 QEMU Linux 伺服器。

Amnesia 利用遠程程式碼對系統漏洞進行掃描、定位和攻擊,攻擊成功後 Amnesia 會獲得對設備的全盤掌控。攻擊者可操縱 Amnesia 殭屍網路發動大規模的 DDoS 攻擊,如同 2016 年發現的 Mirai 殭屍網路攻擊一樣。根據 Palo Alto Networks 的掃描數據,全球約有 227,000 台設備受此漏洞影響,最多設備受影響的國家和地區包括:台灣、美國、以色列、土耳其和印度。

儘管 Amnesia 殭屍網路尚未被用做發動大規模攻擊之用,但從 Mirai 殭屍網路攻擊事件便已可窺見遭受大規模 IoT 殭屍網路攻擊可帶來的嚴重性。 Palo Alto Networks 建議用戶及時升級防護措施。

(本文由 Unwire Pro 授權轉載)