许多怪胎是第一手知道的,小工具有时会变成什么“砖”。 我们谈论的是能正常工作的设备,突然突然无法打开并且没有生命迹象。 这种可悲的结果可能是例如设备固件失败,小工具的软件问题或恶意软件。 Radware的信息安全专家最近
发现了一种恶意软件,该恶意软件会将易受攻击的智能设备变成砖头。 研究人员说,攻击小工具是一种恶意程序,始于今年3月20日。
它与BrickerBot有关,这是一个恶意软件,它同时存在两个版本。 第一个是BricketBot.1,第二个分别是BricketBot2。 两种软件版本仅攻击在Linux BusyBox上运行的系统。 在上个月的短短四天内,Radware员工针对专门设计为IoT设备的特殊障碍
记录了 2250次PDoS攻击(永久拒绝服务,“永久拒绝服务”)。
事实证明,这些攻击来自世界各地的不同节点。 在经过一定数量的攻击后,BrickerBot.1变得沉默了,但是事实证明BrickerBot.2更加活跃。 他试图大约每两小时攻击“诱饵”设备几天,持续几天。 该恶意软件通过Telnet攻击了受保护不佳的IoT系统,实际上将其变成了“砖块”。 BrickerBot选择那些可以通过默认登录名/密码链接访问的小工具。 尚不清楚确切的攻击方式以及恶意软件为何试图禁用各种小工具。
在攻击的第一阶段,BrickerBot的行为与包括Mirai在内的其他物联网恶意软件相同。 Telnet上存在蛮力,可以选择访问受感染设备的管理功能。 根据发现BrickerBot的专家的说法,其代码包含各种设备型号的管理面板中最受欢迎的登录名/密码组合。
如果攻击成功并且恶意软件获得了对系统的访问权限,则将
开始尝试禁用受攻击的小工具。 为此,恶意软件使用几种不同的方法。 两个版本的BrickerBot具有不同的方法。 但是他们有一个目标-将小工具变成“砖头”。
处理易受攻击的小工具的其他方法包括,例如,使用设备驱动器上的数据覆盖。 此外,设置了net.ipv4.tcp_timestamps = 0,之后IoT小工具无法连接到Internet。 另一个恶意软件试图将值kernel.threads-max设置为1,而不是标准值10,000,这导致基于ARM的小工具只是由于停止内核操作而失败。
专家指出,受感染的小工具在感染后几秒钟就停止工作。 有趣的是,如前所述,BrickerBot.1攻击来自全球不同IP地址的IoT设备。 但是僵尸网络的第二个版本通过Tor网络的各个元素运行,因此,即使有可能,也很难跟踪该软件的运行情况。
此恶意软件与其他恶意软件之间的一个不同寻常的区别是,它不会尝试将受攻击的设备连接到僵尸网络。 实际上,破坏物联网设备是BrickerBot唯一可见的目标。 专家建议,该机器人的创造者可能是对网络安全问题缺乏关注而感到不满意的黑客,他们决定教这个粗心的所有者一堂课。
与通常所说的在商店购买网络设备后要小心并更改帐户的措辞相比,该恶意软件可能会真正吸引更多的关注。 但是,这种“学习信息安全基础知识”的方法可能很危险。 例如,这种软件可以禁用许多用于某些目的的监视摄像机。 结果,同一时刻监视城市街道秩序的监视摄像机可能会停止工作。
“试想一下,使馆的监控摄像头已经关闭。 作为侵略国家的行为,值得考虑的是什么? 这样的攻击很容易进行,我相信这仅仅是开始。 我不想说这是不好的,但是我认为实现同一目标的破坏性较小。 例如,您可以从简单修复设备漏洞开始。 但这需要更多的专业精神,” GDI.foundation主管Victor Gevers说。
此外,他要求恶意软件作者与他联系,以尝试制定一些措施来纠正当前状况,并开发出一些方法来消除不安全的IoT小工具,同时纠正其问题。