根據Trend Micro所提出的《Trend Micro 2020 Midyear Cybersecurity Report》(PDF)報告指出,2020年上半年中針對路由器、各類裝置攻擊較2019年下半年相比增加了70%,其中也包含對物聯網(IoT)系統的攻擊,於是他們研究了Mirai和Bashlite這2種IoT殭屍網路惡意軟體,並進行IoT攻擊趨勢來分析。
監控殭屍網路
為了要分析這2款惡意軟體的行為,Trend Micro追蹤了對應的C&C(Command and Control,可理解為殭屍網路的控制中心)伺服器、指令以及相關IP位置,並收集了惡意軟體傳播常用的攻擊方法,並檢查變異情況。
Trend Micro除了自行收集連接到Mirai與Bashlite C&C伺服器的IP與通訊埠,也從開源資訊、Twitter貼文等管到獲取更多資訊,分析從2019年1月1日到2020年8月31日收集的資訊。
研究過程中總共監控了7,030台Mirai C&C伺服器與5,010台Bashlite C&C伺服器,其中分別有2,107、1,715台伺服器至少曾經發出過1次DDoS攻擊(Distributed Denial-of-Service,分散式阻斷服務攻擊)。這些伺服器平均發出248.8條DDoS攻擊指令,其中有136台伺服器發出1,000條以上指令,其它多數則低於500。
Trend Micro指出這些惡意軟體分別於2016年與2014年首次出現,距今已經有段時間,但C&C伺服器的活動仍相當活躍,此外他們也發現有573個C&C伺服器共用相同的IP位置,推測可能有網路犯罪組織同時使用Mirai和Bashlite作案,或是同一IP位置另一組織使用。
採取防護措施
在經過研究與分析各種數據之後,Trend Micro提出危害指標(Indicators of Compromise,IOC)來加強資安防護的能力,將針對IoT惡意軟體的下載網址加入Trend Micro的網業信譽資料庫(Web Reputation Database),以強化旗下資安防護產品的安全性。另一方面,當Trend Micro在研究過程發現新樣本,也會主動建立對應的檢測模式,以增加產品辨識威脅的能力。
Trend Micro也對家中有IoT設備的使用者提出下列建議,以避免外來攻擊造成威脅,
IoT裝置資安提醒
※ 避免使用預設使用者名稱和密碼,請建立難以破解的高強度密碼,以避免IoT裝置受到暴力破解或密碼列表等攻擊。
※ 定期更新IoT裝置軟體、韌體,以修補資安漏洞。
※ 如果不需要使用網際網路功能,請勿將IoT裝置連接至網際網路,只將它連至家中路由器內的區域網絡,以防止攻擊者由外部發動攻擊。
當然,Trend Micro也建議使用者可以參考自家提出的解決方案,透過智慧網安管家等產品的智慧型掃描技術,在路由器阻擋外來威脅,確保家中裝置的安全。
加入電腦王Facebook粉絲團