Endpoint Protection

一场争夺物联网(IoT)设备控制权的战争正打得如火如荼。这场战争的竞争者有很多，但是脱颖而出的只有两个：Mirai 僵尸网络的残余蠕虫，还有就是一个名为“Hajime”的相似类别的新蠕虫。

研究人员在去年十月份首次发现Hajime。该蠕虫和Mirai(Linux.Gafgyt)类似，通过没有保护措施（telnet端口打开且使用默认密码）的设备传播。事实上，Hajime使用的用户名及密码的组合与Mirai程序中的一样，只是又多出两个组合而已。

然而，到底哪里不一样呢。

Mirai 的命令和控制(C&C)服务器使用硬编码地址，而Hajime 建立在一个对等网络之上。该网络上没有C&C服务器地址，但其控制器可把命令模块推至同级网络，并最后将消息传播至所有对等点。这种网络很难击垮，因此我们通常认为其设计得更为牢靠。

相比于Mirai，Hajime行动更为隐秘，技术更为先进。在感染设备后，该蠕虫将采用多个步骤以掩盖其运行进程，并将相关文件隐藏于文件系统之中。其制造者可以随时打开网络上任何受感染计算机的Shell脚本，而且所用代码为模块化代码，因此可快速添加新功能。我们从代码可明显地看出，该蠕虫的设计经过了很长一段的开发时间。

在过去几个月中，Hajime 一直在快速传播。赛门铁克在全球范围内对感染计算机进行跟踪，发现感染主要集中于巴西和伊朗。很难去预计这个对等网络的规模，但保守估计应该有几万台计算机之多。

图1.受Hajime影响最大的前十个国家

该蠕虫背后的目标
Hajime明显少了某些功能。Hajime目前不含有任何分布式拒绝服务(DoS)功能或攻击代码，只有传播模块。取而代之的是，该蠕虫从控制器获取一份声明，并每10分钟在终端上展示一次。当前的消息内容：

只是保护一些系统的白帽黑客。

重要消息将像这样签署！

Hajime 制作者。

联系已关闭

请保持警惕！

上述消息以加密方式签署，且该蠕虫将仅接受硬编码密钥签署的消息，因此消息来自该蠕虫的真正制作者这一点不容置疑。然而，该蠕虫制作者在系统上安装了他们自己的后门程序，因此其是否是真正的白帽黑客或是否只是为了保护这些系统仍存疑问。Hajime的模块化设计也意味着：如果该蠕虫制作者改变主意，则可将受感染设备转变为一个巨大的僵尸网络。

值得称赞他们的是，设备一旦安装此蠕虫，确实是可以改善安全性。该蠕虫可阻挡外界对端口23、7547、5555和5358的访问，而正是这些端口托管着可利用很多物联网设备的服务。Mirai 主要是以上述端口中的某些为目标。

图2.所发现的Hajime的感染量（以位置划分）

白色蠕虫
这不是第一次所谓正义者视图保护脆弱的物联网设备了。赛门铁克于2014/2015年发现了恶意软件Linux.Wifatch。该软件由“白色团队(The White Team)”编写，旨在用与Hajime差不多的方式保护物联网设备。Brickerbot也以类似方式删除关键系统文件或污染系统，使物联网设备离线。

这些白色蠕虫的问题是它们的生命周期通常很短，这是因为其效果只具有暂时性。在受这些典型的受蠕虫感染的物联网系统上，改善安全性所做的改变只存在于随机访问内存(RAM)且并不持久。

设备重启后便返回至无保护状态，仍是采用默认密码和开放的Telnet。为了具备持续效果，需要对相关固件进行升级。大规模升级固件极难实现，因为每个设备的升级过程均不同，而且在一些情况下，必须对设备进行物理访问才可对其加以升级。因此，就好比我们将嵌入式设备陷入了电影《土拨鼠之日》中时间无限循坏的情节中一样。第一天设备可能属于Mirai 僵尸网络，而第二天重启后又可能属于Hajime。日复一日，总是有很多其他物联网恶意软件/蠕虫在外找寻着使用硬代码密码的设备。这个循坏将在设备每次重启后继续，直到设备固件升级或安全性增加为止。

安全研究人员兼任质保员
该蠕虫还有一点值得注意。在广播消息中，该蠕虫的制作者称自己为“Hajime 制作者”，但Hajime这个名称并没有出现在二进制代码之中。事实上“Hajime” 这个名称并不是制作者起的，而是由发现该蠕虫及其与Mirai僵尸网络相似处的研究人员起的。研究人员希望保留使用日语名的主题（Mirai 在日语中指的是“未来”，而Hajime指的是“开始”）。这说明该蠕虫的制作者注意到了研究人员的报告，并似乎很喜欢这个名字。

该报告还发现了蠕虫中的漏洞，并提供了检测这些漏洞的签名。而且，该蠕虫的制作者似乎也注意到了这一点。现在，每个所标出的漏洞都得到修补，且所有相关签名都不再起效。在某种程度上看，这个报告成为了送给该蠕虫制作者的免费质量保证报告，向他们展示哪些漏洞仍需修补。

在这种情况下，帮助该漏洞制作者修补漏洞可能不会造成多大损失，但是安全研究人员无意中协助恶意软件制作者的这种想法真是让人担忧。在帮助IT团队识别病毒感染时，决定在恶意软件报告中放入多少相关信息要进行微妙平衡，从而在不暴露过多信息的同时作为对预防网络攻击者的培训信息和关键性评论材料。高调指出恶意软件中的错误得不偿失，这是因为这种行为向保护者提供的可采取行动的情报非常少。就像玩扑克牌一样，安全研究人员应务必谨记，在不必要的情况下千万不要向别人亮出自己的牌。

防御攻击
为了防止物联网设备遭上述恶意软件感染，设备用户应执行以下步骤。

• 在购买物联网设备之前先对其能力和安全功能进行研究
• 对网络上使用的物联网设备执行审核
• 更改设备上的缺省认证信息。设备账户和 Wi-Fi 网络账户应使用强大独特的密码
• 设置Wi-Fi保护接入(WPA)时使用强大的加密方法
• 禁用不必要的功能和服务
• 禁用Telnet登录并尽量使用SSH
• 禁用路由器的通用随插即用 (UPnP)功能，除非绝对必要
• 依据您的要求和安全策略，调整物联网设备的默认隐私和安全设置
• 在不使用物联网设备时应禁用或防止对物联网设备的远程访问
• 尽可能使用有线连接代替无线连接
• 定期查看设备制造商网站以了解固件升级情况
• 确保硬件故障不能导致设备处于危险状态

保护
赛门铁克和诺顿产品检测本篇博文所述之威胁为：

• Trojan.GEN.NPE
• Linux.Trojan
• Linux.Mirai
• Linux.Gafgyt
• Linux.Wifatch

进一步阅读
了解更多有关物联网设备安全性的信息，请阅读我们的白皮书：《物联网中的危险(Insecurity in the Internet of Things)》