当黑客在2016年公布了殭尸病毒Mirai的原始码之后,资安业者即开始追踪相关变种的动态,近日Palo Alto Networks与Akamai相继揭露,基于Mirai程序代码的新一代殭尸病毒Echobot正快速崛起中,而且开采能力超强,黑客已利用26种漏洞攻击程序来散布Echobot。在2016年8月现身的Mirai病毒主要感染IP摄影机及家用路由器等物联网装置,最高峰时有超过30万台装置感染了Mirai,成为分布式阻断服务(DDoS)攻击的大军,法国网站代管业者OVH及DNS供货商Dyn,曾先后遭到Mirai殭尸网络的攻击,然而,Mirai作者在10月就宣布退休,还公开释出Mirai原始码,之后即余孽不断。
例如Echobot的攻击程序代码明显与Mirai相同,唯一的改变在于用来感染装置的攻击方法不同。原始版的Mirai入侵装置的管道只是开采IoT装置的默认密码或薄弱密码,但随后的黑客却将它发扬光大,利用攻击程序来开采装置漏洞以植入殭尸病毒。Palo Alto Networks今年6月初的分析显示,Echobot已利用18种攻击程序进行散布,但Akamai一周后就发现另一个Echobot变种支持26种攻击程序。相关内文来源:FUN88国际公益 http://openbsd.org.tw/
这些攻击程序都是锁定不同品牌的装置与安全漏洞,以期扩大Echobot病毒感染范围,涵盖Asus、Belkin、Dell、D-Link、Linksys、RealTek、Netgear、Hootoo 、VMware或Oracle等,产品类别从NAS、路由器、服务器到智慧家电等。Akamai研究人员Larry Cashdollar指出,黑客不仅开采IoT装置韧体的安全漏洞,也开采Oracle WebLogic及VMware SD-WAN等企业系统的安全漏洞,还有些攻击程序开采了10年前的安全漏洞,透露出这些漏洞很可能从未被修补过。Cashdollar提醒,殭尸病毒作者不断想法设法地扩大病毒的感染率,从Echobot的例子可看出,黑客不只开采新漏洞,也会利用年久失修的旧漏洞,不管是制造商或使用者都应留心此一趋势。