Kaiji Malware Brute强制使用易于猜测的用户名和密码组合来成功进行攻击
所谓的物联网(IoT)革命在许多不同方面改变了在线生态系统,网络安全也不例外。黑客知道,智能小工具和其他物联网设备只不过是具有缩小的操作系统(主要是基于Linux)的小型计算机,因此他们决心利用这一事实。
在Mirai出现并完全重写了有关分布式拒绝服务(DDoS)攻击的记录之前,出现了一些未成功的IoT威胁。僵尸网络的巨大攻击足以摧毁整个世界范围内的大部分互联网,它们表明了带武器的物联网小工具的危险性。他们还向所有人展示了IoT安全状态的糟糕程度。您可能认为我们现在已经吸取了教训。您可能以为我们会让我们的智能设备更难以被黑客入侵。好吧,你会错的。
Table of Contents
Kaiji –全新的物联网恶意软件家族
一群名为MalwareMustDie的独立研究人员最近偶然发现了Kaiji,这是一种以前未曾报道过的IoT恶意软件。尽管他们之前从未听说过,但是专家们可能首先认为,关于恶意软件的唯一新事物就是名称。
在Mirai历史性的DDoS攻击之后,安全社区和执法机构开始追捕该恶意软件的作者。最终,确定了世界上功能最强大的DDoS僵尸网络的创建者,但在此之前,Mirai的源代码被泄露。从那时起,几乎所有打算发起DDoS攻击的IoT恶意软件家族都基于Mirai。有新的名称和新的组件,但是核心总是几乎相同的,它来自臭名昭著的Mirai。
然而,《 Kaiji》是从头开始在《 Go Lang》中写的。没有从任何其他地方复制任何一行代码,这意味着一段时间以来,我们第一次有了可以与Mirai相比的IoT恶意软件家族。那么,它如何堆叠?
Kaiji是新的Mirai吗?
事实是,我们目前对Kaiji知之甚少。 Intezer的研究人员撰写了有关新恶意软件的技术报告,以支持MalwareMustDie怀疑Kaiji是由中国黑客编写的怀疑。该恶意软件显然已准备好发动几种不同类型的DDoS攻击,但似乎仍在开发中。在分析过程中的某个时刻,Intezer的研究人员注意到Kaiji占用了过多的RAM,后来他们发现Command&Control基础结构的某些部分无法正常工作-这清楚地表明恶意软件作者仍有很多工作要做。
他们选择了最初的感染媒介,但是他们的决定不仅可以告诉我们很多有关Kaiji的知识,而且可以告诉我们有关整个IoT领域的很多信息。
新恶意软件,老把戏
Kaiji通过强行使用SSH登录凭据来感染新设备。 SSH是一种网络协议,可让您远程控制其他设备,并且在许多地方,您会看到它比Telnet(Mirai用于招募智能小工具的通信协议)更加安全。确实,主要区别之一是SSH连接是加密的,但是在这种特殊情况下,这无关紧要。
Mirai和Kaiji都采用蛮力方式,这意味着攻击的目标不是协议,而是登录凭据。这些登录凭据仍然呈现有效的感染媒介这一事实,足以说明物联网安全性的状况。 Kaiji和Mirai甚至没有利用人们糟糕的密码管理决定。取而代之的是,它们利用了这样的事实:太多的设备仍使用默认凭据。
物联网小工具的制造商使用易于猜测的登录凭据在市场上发布了设备,任何人都可以控制它们。希望没有人会对入侵这些特定的小工具感兴趣,因此供应商经常无法实现一种更新弱密码的方法,这使得攻击更有可能成功。即使有密码重设机制,用户通常也不必费心使用它。
Mirai在2016年取得了第一个成绩时就是这种情况,现在显然是这样,这表明我们在过去四年中没有学到任何东西。
