Kaiji是用Golang从头开始编写的一个新的IoT恶意软件僵尸网络,它搜索配置不良的SSH服务并强行入侵。但是,即使它是一堆新的恶意软件,Bitdefender强大的安全解决方案仍然可以检测其恶意行为并拦截它在路上。
尽管有许多Iot恶意软件,许多都是基于现有的变种。臭名昭著的Mirai恶意软件在2016年非常活跃,黑客使用它进行大规模攻击,最终其源代码公开,这导致了众多变体的开发。但是,这是从零开始写的Kaiji,在Golang中也不少。它不是典型的恶意软件,因为它利用了Go的简约和直接的结构。
Kaiji之所以有趣,是因为编写这样的内容需要时间和资源,而犯罪分子通常对投资没有兴趣。当源代码已经可用时,为什么还要编写新的恶意软件呢?Mirai的源代码已在Miori,Wicked,Okiru和许多其他恶意软件中使用,证明了初始构建可以以新颖的方式进行扩展,而无需从头开始进行开发。
一次又一次使用SSH暴力破解
研究人员发现了该恶意软件,并称其起源于中国,并且其目标是SSH端口开放的IoT设备。
SSH是一种非常方便且安全的协议,用于连接到远程连接到网络的任何设备。它比Telnet安全,但功能也强大得多,特别是对于root用户而言。犯罪分子非常喜欢使用暴力破解攻击。
不幸的是,由于物联网设备制造商的粗心或用户的错误配置,这种攻击是可能的。通常,默认情况下应禁用SSH服务,并且用户需要手动打开它以用于传入连接。一些设备制造商出于某种原因选择默认情况下将其打开,并开放22端口。
更糟糕的是,所有SSH连接都使用用户名和密码来保护,但并非每个人都愿意更改默认设置。结果是悲惨的,因为有无数个具有开放端口的在线连接设备,只是等待被Kaiji等恶意软件发现并破坏。
该恶意软件试图强行攻击root用户,通常使用用户名和密码的常见组合来完成。例如,如果用户拥有运行OpenElec(Linux发行版)的设备,则默认的根凭据为“ root / openelec”。root用户具有对计算机的完全控制权,具有完整权限。
正如对恶意软件的Intezer 分析所揭示的那样,如果使用用户名和密码组合进行的攻击成功,它将执行bash脚本,在/usr/bin/lib目录下创建一个新目录,并以不同的名称安装最终的软件包,例如如netstat,LS等。
该恶意软件本身附带总共13个例程,可以执行各种任务,例如联系命令和控制中心,DDoS指令,C2服务器替换,DDoS rootkit(通过现有的SSH RSA密钥或IP连接到已知主机),一些别的持久性工具。
研究人员还注意到,至少其中一种工具不完整,导致恶意软件调用自身的次数过多,占用了过多的RAM。此外,主要的指挥和控制中心仅在线停留了几周,然后离线。这使研究人员认为Kaiji仍在开发中。
“新”并不意味着不可检测
虽然检测新的恶意软件更具挑战性,但现代安全解决方案可以使用其他方法来检测IoT僵尸网络,尤其是在查看其行为时。物联网恶意软件尝试各种方法来危害端点,并且所产生的网络噪声通常足以触发检测,但前提是存在安全解决方案。
这就是我们在解决方案中用于保护Iot的方法-Bitdefender IoT Security Platform实施了专门为此任务设计的多种技术。首先,Kaiji使用SSH蛮力攻击,Bitdefender的蛮力保护模块将其阻止。
某些IoT设备的问题在于它们仍使用默认的用户名和密码进行SSH身份验证,因此Kaiji可能能够在首次尝试时登录,而不会触发暴力保护。
在这种情况下,另一个名为“异常检测”的模块将使用机器学习来检查正常设备行为的模式。例行程序中出现的任何错误(例如,在僵尸网络中使用新IP进行连接)都会触发保护并确保用户安全,即使遇到未知攻击者也是如此。
现在,保护家庭网络和设备的最佳方法是通过ISP本身,因为它们有能力同时保护数百万个家庭。借助Bitdefender IoT安全平台,ISP可以将这些技术直接部署到其现有路由器中。
Bitdefender IoT安全平台还通过保护ISP的设备和网络,降低支持成本并增加客户保留率来保护ISP。即使出现像Kaiji这样的新威胁,正确的安全解决方案也可以发挥重要作用。
来源:freebuf.com 2020-05-08 12:30:11 by: 比特梵德中国
请登录后发表评论
注册