赛门铁克公司表示，一款名为“Hajime”的新型蠕虫正在对抗僵尸网络和其它恶意威胁，以达到控制物联网设备的目的。Hajime似乎由“义工”黑客打造，旨在改进物联网设备安全。Rapidty Networks于2016年10月发现Hajime，不过直到最近才确认这款恶意软件并未危害物联网设备，相反，它还拔刀相助，维护物联网设备安全。

Hajime可以帮助IT决策者及其组织机构保护物联网设备安全。然而，它的积极影响可能是暂时的，企业领导层应该认识到，良好的管理做法无可取代。

什么是Hajime?

美国科技博客网站解释称，Hajime在Mirai僵尸网络出现之后浮出水面。

Hajime与Mirai类似的是，通过不安全的设备(具有开放的Telnet端口，并使用默认密码)进行传播。然而，Hajime构建在对等网络上，并随着时间的推移传播到其它设备上。但这款恶意软件比Mirai更先进，它采用多个步骤掩盖进程和隐藏文件。

赛门铁克称，从代码就可以看出，Hajime应该费了开发者不少时间和精力。

赛门铁克指出，Hajime自初次被发现以来一直在迅速传播。虽然很难猜测对等网络的规模，但该公司保守估计应该有好几万台物联网设备。

路见不平就出手：白帽子黑客打造Hajime保护物联网设备安全-E安全

对物联网设备而言到底是好是坏?

赛门铁克过去6个月追踪了Hajime蠕虫的全球感染情况，最终发现巴西和伊朗设备被感染。然而，这未必就是坏消息。因为研究人员发现，Hajime正使用自我复制模块对抗Mirai和其它物联网设备构成的僵尸网络。

路见不平就出手：白帽子黑客打造Hajime保护物联网设备安全-E安全

受Hajime影响最大的前十个国家

Hajime缺失重要的负面功能。这款蠕虫没有任何DDoS能力或攻击代码，只有传播模块。它只是简单从控制器获取一份白帽子黑客声明，大约每10分钟就会在屏幕上显示一条消息：

一名保护某些系统安全的白帽子黑客

重要消息将像这样签署!

Hajime作者

联系已关闭

请保持警惕!

消息以加密方式签名，且该蠕虫将仅接受硬编码密钥签名的消息，因此，毋庸置疑的是，该消息来自该蠕虫的真正制作者。

赛门铁克发表博文指出，安装这款蠕虫事实上还有助于改进物联网设备的安全。Hajime可以阻挡外界对23、7547、 5555 和5358端口的访问，而这些端口托管着可利用的服务。

而这也是区分Hajime无害的另一个证据，因为Mirai就会以这些端口为目标。

给 IT决策者的建议

无疑，Hajime在对抗Mirai和其它物联网恶意软件中充当罗宾汉的角色。其它白帽子蠕虫，例如Linux.Wifatch和BrickerBot也设法保护设备安全或使系统脱机。有人指出，不重视设备安全的物联网厂商可能会对“义工”恶意软件感兴趣。

虽然这些蠕虫可以帮助对抗恶意威胁，但IT决策者不能理所当然接受它们的帮助。况且这些工具的使命寿命较短，一旦物联网设备重启，它将反弹到不安全的状态。赛门铁克甚至质疑，企业依赖身份不明的白帽子黑客是否是明智之举，因为这些白帽子黑客的意图可能会发生转变。

赛门铁克提出一些避免物联网设备被感染的建议，如下：

在购买物联网设备之前先对其功能和安全功能进行研究。

检查网络上使用的物联网设备。

更改设备上的缺省认证信息。

设备账户和 Wi-Fi 网络账户应使用独特的强密码。

设置Wi-Fi保护接入(WPA)时使用强加密方法。

禁用不必要的功能和服务。

禁用Telnet登录并尽量使用SSH。

禁用路由器的通用随插即用 (UPnP)功能，除非有绝对必要。

根据自己的要求和安全策略调整物联网设备的默认隐私和安全设置。

在不使用物联网设备时，禁用或防止对物联网设备的远程访问。

尽可能用有线连接代替无线连接。

定期查看设备制造商网站以了解固件升级情况。

确保硬件故障不会让设备处于危险状态。