物联网僵尸(IoT zombies)来了。它们数量众多,我们短期内无法将其全部消灭!
它们很可能会危及设备安全。现在就该采取措施,确保设备免受感染!
继我们之前深入探讨了最近发生的大规模DDoS(Distributed Denial of Service,分散式阻断服务)攻击事件。在这些攻击事件中,物联网设备被当成了机器人或是僵尸。该文章发布后不久,一个自称是该恶意软体作者的人士公布了攻击软体的原始程式码-这款名为Mirai的恶意软体是一种木马病毒,在感染了物联网设备后,向多家知名网站发起了DDoS攻击,受害的设备数量惊人;Malware Tech估计有12万台设备受到感染,而Level 3则称有150万台设备受到感染。然而,这起攻击事件只是最新的一例。
这些病毒是永久性的。
在思考如何应对攻击时,若借用医学上的病毒学原理将能对Mirai的传播方式有更进一步的了解。医学上的感染分析方法是采用曲线图来表现易感染、感染、修复三者的关系;这一方法同样适用于我们现在面临的问题:
图二
设备一旦感染了Mirai,就会利用预设验证资讯 (default credentials) 在网路上随机寻找带有开放Telnet埠的设备。一旦找到这样的设备,就将木马病毒植入其中,使其变成僵尸后去感染更多的目标。这个过程如上图曲线的第一段。
有些设备可以被修复或者受到了保护,但很多都不能,于是被永久的感染。
即使是被修复了的设备,也不能避免被其他感染了病毒的设备再次攻击;由于许多设备已被永久感染,袭击将随时卷土重来。
我们可以杀死Mirai病毒吗?
有些方法可以杀死Mirai病毒,或者至少能降低它的影响力。
修复所有设备(Fix all the devices)
就实务上来说,是不可能的。大部分设备拥有者不知道他们的设备已被感染,也不具备修复设备的能力,甚至因为没有受到直接的影响,因此没有意愿修复设备。
封杀控制-指令伺服器(Kill the command-and-control server)
Mirai的弱点之一是新感染的设备需要向指令-控制伺服器注册后方可下载指令。这些是散播病毒的伺服器,而非可能的受感染设备。如果控制-指令伺服器被封杀,将会限制Mirai病毒的扩散。
保护目标 (Protect the target)
为了正面迎战近日发生的物联网DDoS攻击,安全网站krebsonsecurity.com被迫更换了托管公司。DDoS攻击并非是新鲜事,防御办法是有的,但像这类的转移也是行之有效的应对措施之一。但若想要修复目前所有被感染或者潜在会被感染的设备并不实际,况且我们也做不到能彻底清除感染。
前景展望
即便不是Mirai,也会有其他自我繁殖的恶意软体会被开发出来进而感染其它物联网设备。Mirai原始程式码的公开将加速后续病毒的开发。可以预见,未来的攻击手段将会取消对指令和控制伺服器的依赖,从而使杀死病毒的任务更加艰巨。
目前,Mirai主要进行DDoS攻击。但在未来,将把物联网设备作为僵尸物联网设备,攻击同一网路上的其它系统。
设备免疫
物联网僵尸在可预见的未来都会存在。我们可以避免甚至隔离物联网僵尸,但随着网路的变更以及新设备的发展,新的病毒感染途径也会随之出现;由于感染的风险持续存在,设备成为感染目标只是时间的问题。因此,对设备进行免疫,使其避免遭受感染至关重要。
免疫的第一步首先是消除已知的感染方式。消除或者阻断不必要的服务(如Telnet),消除预设验证资讯 ,以安全密码取代,阻断与外部端点的意外连结。
但从长远来看,还需采取进一步措施防止可被适应型病毒的出现。这就是CWE/SANS Top 25 Most Dangerous Software Errors等工具软体的应用,同时也是Wind River能够着力之处。
Wind River提供以下多层次、预先整合的防护措施:
- 安全启动和初始化,防范受影响的可执行代码
- 静态资料加密,保护敏感资讯
- 双向验证,阻止不法终端及恶意尝试连接
- 通信加密,保护敏感资讯
- 作业系统增强,防止许可权升级
- 防火墙阻断非预期的外部连结
- 安全更新修改需经授权,防止恶意修改
Wind River的可订制系统产品整合了这些防护措施,使无关的服务被排除在设备之外。最大程度地减少了病毒感染的途径,使设备具有强大的防御功能。
此外,Wind River的专业服务团队能够从建立和部署安全证书的工具和流程,到优化硬体安全功能,以及安全风险评估和安全测试等方面,对产品进行评估,帮您订制适合的产品。
永绝后路
物联网僵尸会入侵您的设备、与设备互相连结并寻找继续感染其他设备的途径。保护设备的方法有很多种,然而预先整合的解决方案不仅能够使设备免受当前的病毒感染,并且能够阻止将来变种病毒的侵袭!这种方法就是免疫—将使你的设备长保健康。
京公网安备 11010502049343号