影響逾 20 萬部 DVR 裝置 變種 Tsunami 針對物聯裝置建殭屍網絡

Palo Alto Networks 威脅情報團隊近日發現物聯網/Linux 殭屍網絡 Tsunami 的最新變種並命名為「Amnesia」。 Amnesia 殭屍網絡允許攻擊者利用未經修補的遠程代碼針對數碼攝錄機 (DVR) 設備的漏洞作出攻擊,2016 年 3 月此漏洞曾被公開過。這些 DVR 設備由 TVT Digital 生產並通過 70 多間品牌分銷至全球,全球約有 227,000 台設備受此漏洞影響。

Palo Alto Networks 威脅情報團隊近日發現物聯網/Linux 殭屍網絡 Tsunami 的最新變種並命名為「Amnesia」。 Amnesia 殭屍網絡允許攻擊者利用未經修補的遠程代碼針對數碼攝錄機 (DVR) 設備的漏洞作出攻擊,2016 年 3 月此漏洞曾被公開過。這些 DVR 設備由 TVT Digital 生產並通過 70 多間品牌分銷至全球,全球約有 227,000 台設備受此漏洞影響。

 

團隊 Unit 42 認為,Amnesia 是首個採用虛擬機器逃脫技術來避開惡意軟件分析沙盒的 Linux 惡意軟件。通常虛擬機器逃脫技術與 Microsoft Windows 和 Google Android 惡意軟件相關。

Amnesia 會探測它是否正在 VirtualBox、VMware 或 QEMU 虛擬機器中運行,一旦探測出這些運行環境,Amnesia 便會刪除檔案系統中的所有檔案,從而清空虛擬 Linux 系統,這不但會影響到惡意軟件分析沙盒的正常運作,還會影響到某些 VPS 或公共雲中的 QEMU Linux 伺服器。

Amnesia 利用遠程代碼對系統漏洞進行掃描、定位和攻擊,攻擊成功後 Amnesia 會獲得對設備的全盤掌控。攻擊者可操縱 Amnesia 殭屍網絡發動大規模的 DDoS 攻擊,如同 2016 年發現的 Mirai 殭屍網絡攻擊一樣。根據 Palo Alto Networks 的掃描數據,全球約有 227,000 台設備受此漏洞影響,最多設備受影響的國家和地區包括:台灣、美國、以色列、土耳其和印度。

儘管 Amnesia 殭屍網絡尚未被用作發動大規模攻擊之用,但從 Mirai 殭屍網絡攻擊事件便已可窺見遭受大規模 IoT 殭屍網絡攻擊可帶來的嚴重性。 Palo Alto Networks 建議用戶及時升級防護措施。