1. Hajime
在网络安全领域,分清好人和坏人需要付出一些努力。当两者都以恶意软件的形式出现时,将它们分开几乎是不可能的——这就是为什么Hajime会列出这个列表。Hajime(日语“开始”的意思)是一种恶意软件,它接管了一个设备,以保护它免受其他恶意软件的攻击。这就是困惑的开始。
Hajime首次出现是作为恶意软件攻击Mirai的目标硬件。当Hajime控制一个设备时,它开始关闭通常在Mirai感染中使用的开放端口。尽管许多研究人员认为Hajime的感染机制比Mirai的更为复杂,但必须指出的是,Hajime迄今尚未与DDoS或cryptominer有效载荷一起使用——这是好事,因为Hajime已经形成了感染僵尸网络,拥有数十万成员。
在互联网上,你会看到“治安维护者恶意软件”这个词被用来形容像Hajime这样的软件。虽然对Mirai的保护似乎是有利的,但代价高昂:有人控制了你的硬件,进行了更改,并通过他们控制的加密锁定了这些更改。它们关闭的端口可以合法地用于诸如远程管理之类的活动,所以这并不完全是良性的。积极的消息是,更新设备和创建防火墙规则来保护Mirai也将阻止Hajime。
2. Amnesia
Amnesia是一个鲜明的提醒,物联网操作系统至少和办公操作系统一样多,包括像Microsoft Windows这样的流行操作系统(和目标)。Amnesia将打击物联网,加密易受攻击的文件,并使用物联网设备作为启动板,以便在企业网络中感染尽可能多的生产力系统。
Amnesia以其广泛的功能而着称:它可以加密大约7,000种不同的文件类型。在用户介入感染过程后,这些文件将被加密,以提供Amnesia的主要应用程序管理员权限。这使得Amnesia不会对那些不容易让用户输入键盘的“无头”设备造成危险。
对于包括销售点终端和信息亭的设备而言,此恶意软件仍然是一个问题,尤其是在员工面临要求获得执行维护更新许可的转移消息的情况下。好消息是如果一切都出错并且Amnesia加密文件,Emsisoft就会免费提供解密器。
3. Satori
Satori最初是带给我们Mirai的代码的一个变体,但它已经进化得更多了。它在开发人员手中不断变化,目标是新的cpu和系统,它们的有效负载不断变化,但似乎总是回到DDoS的业务。
值得记住的是,Mirai开始于操作视频游戏服务器的人之间的争斗。这种小矛盾已经发展到毁灭世界各地的企业。Satori继续寻找可以利用的新漏洞和新方法。最近几个月,开发人员将垃圾邮件生成和加密货币挖掘添加到Satori的系统中。
针对Satori的最佳防御措施与Mirai的相匹配:确保所有物联网设备(尤其是那些对互联网开放的设备)都打好补丁并进行更新。添加一组设计良好的防火墙和入侵预防系统(IPS)规则,您将拥有组织能够应用的尽可能多的Satori保护。
很少有设备能像指向门、窗、关键设备和经常被践踏的通道的安全摄像头那样,提高物理安全性。而且,很少有设备能像这批相机一样对网络构成如此大的网络安全风险,它们向互联网开放,往往不受保护,而且几乎不受保护。
Satori紧随Mirai之后,专门针对一系列基于ip的摄像头,将其作为恶意软件的主机,并将其喷洒出ddos的有效载荷。虽然Mirai也将自己植入了IP摄像头,但它的视野更广阔,而Satori则是具体的。因此,Satori很快成为顶级IP摄像头僵尸网络。
4. Persirai
Persirai一直把注意力集中在相机上,但也增加了受害者的名单;它现在有能力感染超过1000种不同的相机型号。保护免受Persirai的攻击包括几个步骤,包括禁用通用的即插即用(plug-n-play)、追踪密码(如果可能的话)、更新固件,以及意识到你可能拥有的所有设备都在与互联网上的服务器聊天。
5. VPNFilter
虽然IP摄像头经常成为物联网恶意软件的目标,但它们远非可能被感染的系统。VPNFilter瞄准家庭和小型企业路由器,并附带一个好处:即使在设备重新启动之后,它仍然可以保持原样。
与感染物联网的大多数其他恶意软件不同,VPNFilter并没有特别尝试构建僵尸网络,从僵尸网络发起DDoS攻击。相反,模块化的VPNFilter可以携带一个有效负载,从网络中收集数据,感染其他设备,破坏网络操作,或隐藏其他僵尸网络节点的位置。
无法通过简单地重置路由器清除VPNFilter。不过,完成这项工作需要两个步骤:执行工厂重置,然后在路由器重新连接到Internet之前更改默认的管理密码。当然,如果您从更改默认用户名和密码开始,然后保持路由器完全补丁和更新,VPNFilter的损坏将保持过滤。
6. Mirai
Mirai已经成为物联网恶意软件的典型代表,造成了巨大的、受感染的僵尸网络和有史以来最大的DDoS攻击。Mirai已经演变成多种相关形式,但无论是单独出现还是作为一个家庭出现,它都是一种有毒、高度危险的恶意软件。
Mirai的僵尸网络继续被用于DDoS攻击,尽管一些变种采用模块化设计,允许它们被用于多种目的。
Mirai最危险的一面是它的多级命令控制服务器和它的“恶意软件即服务”商业包装。为了将黑客的工作传播给商业化的大众,Mirai所做的与任何恶意软件一样多:网络安全专业人士有责任阻止它创下更大规模攻击的新纪录。