Palo Alto Networks 威胁情报团队近日发现物联网 / Linux 僵尸网络 Tsunami 的最新变种并命名为“Amnesia”。 Amnesia 僵尸网络允许攻击者利用未经修补的远程程式码针对数位摄录机 (DVR) 设备的漏洞做出攻击,2016 年 3 月此漏洞曾被公开过。这些 DVR 设备由 TVT Digital 生产并透过 70 多间品牌分销至全球,全球约有 227,000 台设备受此漏洞影响。
团队 Unit 42 认为,Amnesia 是首个采用虚拟主机逃脱技术来避开恶意软件分析沙盒的 Linux 恶意软件。通常虚拟机器逃脱技术与 Microsoft Windows 和 Google Android 恶意软件相关。
Amnesia 会探测它是否正在 VirtualBox、VMware 或 QEMU 虚拟主机中运作,一旦探测出这些运作环境,Amnesia 便会删除档案系统中的所有档案,从而清空虚拟 Linux 系统,这不但会影响到恶意软件分析沙盒的正常运作,还会影响到某些 VPS 或公共云中的 QEMU Linux 服务器。
Amnesia 利用远程程式码对系统漏洞进行扫描、定位和攻击,攻击成功后 Amnesia 会获得对设备的全盘掌控。攻击者可操纵 Amnesia 僵尸网络发动大规模的 DDoS 攻击,如同 2016 年发现的 Mirai 僵尸网络攻击一样。根据 Palo Alto Networks 的扫描数据,全球约有 227,000 台设备受此漏洞影响,最多设备受影响的国家和地区包括:台湾、美国、以色列、土耳其和印度。
尽管 Amnesia 僵尸网络尚未被用做发动大规模攻击之用,但从 Mirai 僵尸网络攻击事件便已可窥见遭受大规模 IoT 僵尸网络攻击可带来的严重性。 Palo Alto Networks 建议用户及时升级防护措施。
(本文由 Unwire Pro 授权转载)
