Top
首页 > 信息化 > 前沿技术 > 正文

伸向ARC的Satori

Satori是恶名远扬的物联网恶意软件Mirai的继承变种,被研究人员在2017年12月发现。“Satori”这个词在日语里是“开悟”或者“领悟”的意思,但Satori恶意软件带来的却是一片混乱。它的每一个新版本都把目标平台、传播方法和攻击类型进行了重新组合。与传统恶意软件逐渐增强的功能相比,Satori似乎既有进步又有倒退。深入挖掘其历史将有助于我们洞悉这一不断演变的威胁软件。
发布时间:2018-02-27 11:25        来源:赛迪网        作者:

Satori是恶名远扬的物联网恶意软件Mirai的继承变种,被研究人员在2017年12月发现。“Satori”这个词在日语里是“开悟”或者“领悟”的意思,但Satori恶意软件带来的却是一片混乱。它的每一个新版本都把目标平台、传播方法和攻击类型进行了重新组合。与传统恶意软件逐渐增强的功能相比,Satori似乎既有进步又有倒退。深入挖掘其历史将有助于我们洞悉这一不断演变的威胁软件。

物联网恶意软件的由来

2016年末,上了头条新闻的大规模DDoS攻击第一次引起了人们对物联网安全的关注。恶意软件Mirai并没有像大多数威胁软件那样针对Windows系统,它的目标是物联网设备和其他嵌入式系统的漏洞。这些设备是DDoS僵尸网络的极佳选择,因为它们通常运行精简版的Linux,直接连接到互联网,而且安全功能非常有限。

Mirai及其很多模仿者的运行原理都是类似的:

  • 传播——受感染的设备会随机的去感染其他设备。Mirai开始时便利用了过时的Telnet协议,使用了常见的用户名/密码对。后来的版本则利用具体平台的漏洞来进行传播,例如,家庭路由器Web接口中的命令注入漏洞。
  • 指挥和控制——一旦被感染,僵尸程序除了传播之外,还会定期访问指挥和控制网站,以获取更新和攻击命令。
  • 攻击——一旦接到指挥和控制网站的指令,僵尸主机会协同向受害者发起洪水式的攻击。这包括具有特殊标志的TCP数据包、UDP数据包、HTTP请求,或者其他更复杂的洪水式的攻击。

Mirai的作者最终公开了该恶意软件的源代码。有了它,任何知道怎样使用编译器的人都能够建立自己的指挥和控制网站,快速构建自己的Mirai僵尸网络。而那些技高一筹的人还可以添加新的传播方法、指挥和控制协议,以及新攻击类型等特性。

Satori

研究人员第一次发现Satori是在2017年12月,后来又陆续出现了其他版本。最初发现的Satori与Mirai的不同之处在于其传播方法针对的是物联网设备中的两个漏洞——华为家庭网关的“零日”,以及Realtek的UPnP SOAP接口中已知的命令执行漏洞。这两种漏洞显然都是针对两类非常具体的设备,这与和设备无关的Mirai不同,Mirai所感染的设备一般使用了默认的或者很容易被猜到的Telnet用户名和密码。尽管有证据表明Satori至少重新使用了Mirai部分公开的代码,其非常有针对性的攻击才是引起研究人员注意的原因所在。

也许是为了进一步把水搅浑,其他版本的Satori确实使用Telnet来传播,但是有更复杂的用户名和密码列表。

包括Satori在内的所有物联网恶意软件都是以编译后的、随时可以运行的格式发送给受害者的。这意味着专门针对受害者的架构编译了Linux可执行文件。例如,ARM设备不能运行为x86处理器编译的可执行文件。在发送其有效载荷之前,Mirai和Satori会试探受害者,确定要下载并执行Mirai经过预编译的哪一个二进制版本。而Satori魔高一丈,引入了新的架构——SuperH和ARC。还不清楚Satori背后的犯罪分子为什么这样做,是因为他们知道有易感染的主机,还是碰运气而已。

下面的图表基于ASERT的分析,介绍了Satori三种最新变种的相似性和差异性。参考文献[1]-[5]提供了包括其他IoC在内的补充信息。由于变种1缺少参考文献[1]所描述的功能,因此表中不包括它。

F51E920B-81F0-4CF6-8F5C-BDA036695D57

我们要特别指出的是Satori的第4个变种,因为它看起来是第一个已知的ARC恶意软件。它能够在ARC芯片上运行,这将捕获更多的僵尸网络主机。据参考文献[6],一篇写于2014年的文章,“ARC处理器IP内核已经获得了190多家公司的许可,每年应用于超过15亿的产品中。”然而,这个新领域现在已被打破,这为其他恶意软件作者攻击该架构铺平了道路。

DDoS缓解

Satori的所有变种都利用了Mirai DDoS攻击代码库的不同子集,因此,长期以来基于Mirai的DDoS缓解措施仍然适用。例如,可以参考ASERT博客中名为“Mirai物联网僵尸网络介绍”,以及“DDoS攻击缓解”文章中的实例[7]。Arbor客户还可以向其账户管理部门或者Arbor ATAC申请最新的ASERT Mirai威胁咨询,获得详细的Arbor具体产品缓解建议。

此外,DDoS恶意软件持续的向不同处理器架构扩展,进一步说明了网络运营商应采用网络当前最佳实践(BCP)。虽然Mirai常常把采用了弱密码的IPTV摄像机和DVR作为攻击目标,但威胁犯罪分子总是想从还未被攻破的设备那里有所斩获。随着恶意软件作者把魔爪伸向ARC和其他嵌入式处理器,DDoS恶意软件会去破坏多种连接了互联网的设备,例如,手机、游戏机等。网络运营商必须重新思考他们的防御策略,保护内部设备不被攻破,包括那些以无线方式联网的设备。如果没有主动实施网络架构和运营BCP,那么由于扫描和对外DDoS攻击所带来的附带损害后果就会非常严重。参考文献[8]和[9]提供了BCP相关参考。

总结

物联网恶意软件的影响不言而喻,而且威胁形势还在不断演变。弱得不能再弱的是采用默认用户名和密码,这已经被滥用了,攻击者转向会更有收获的攻击——利用设备本身的漏洞。这在Mirai于2016年带给世界的预兆中已经有所反映——物联网设备是不安全的,会被滥用。我们认为物联网恶意软件的三个基本原理还是那样——传播、指挥和控制,以及攻击,但随着时间的推移将变得更加复杂,不断演进。

参考文献

[1] https://researchcenter.paloaltonetworks.com/2018/01/unit42-iot-malware-evolves-harvest-bots-exploiting-zero-day-home-router-vulnerability/

[2] https://research.checkpoint.com/good-zero-day-skiddie/

[3] http://blog.netlab.360.com/warning-satori-a-new-mirai-variant-is-spreading-in-worm-style-on-port-37215-and-52869-en/

[4]http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/

[5]https://www.reddit.com/r/LinuxMalware/comments/7p00i3/quick_notes_for_okiru_satori_variant_of_mirai/

[6]http://www.techdesignforums.com/practice/technique/power-performance-processor-ip/

[7]https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/

[8] https://app.box.com/s/osk4po8ietn1zrjjmn8b

[9] https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

专题访谈

中国制造2025之“三大转变”

面对快速变化的国内、国际经济形势,中国制...[详细]

合作站点
stat