「殭屍網絡」大戰︰入侵是為了保護你的裝置?

「殭屍網絡」大戰︰入侵是為了保護你的裝置?
Photo Credit: venimo / Shutterstock / 達志影像

我們想讓你知道的是

近日有資訊安全研究人員發現,一個會入侵網絡裝置的程式似乎沒有惡意,甚至想阻止其他惡意程式入侵。

物聯網(Internet of Things, IoT)興起,各種無線裝置為用戶帶來不少方便之餘,亦引起安全危機。不少裝置的保安機制有漏洞,而且缺乏更新,容易被黑客入侵,令裝置加入「殭屍網絡」(botnet),被用作進行「分散式阻斷服務攻擊」(DDoS)。

2016年一次大型DDoS攻擊,流量高達1.1 Tbps,遠遠超越原本的記錄,據稱有關的殭屍網絡利用了上萬部網絡攝錄機協助攻擊,預計未來類似的大型攻擊會變得更加常見。

上星期資訊保安公司賽門鐵克(Symantec)的研究人員Waylon Grange發現,去年10月發現的殭屍網絡Hajime,透過使用預設密碼的不安全裝置散播,跟另一大型殭屍網絡Mirai類似。Grange指在過去幾個月Hajime迅速散佈,賽門鐵克追蹤網絡,保守估計有數以萬計裝置受到感柒,主要在巴西及伊朗。卡巴斯基的研究人員則發現有近3萬部裝置受感染。

Hajime比起Mirai更加隱蔽及難刪除,卻明顯缺乏一些功能,例如不能進行DDoS攻擊,除了傳播出去的組件外也沒有其他攻擊程式碼。最特別的是,每隔約10分鐘會顯示一個訊息︰

只是一個白帽,確保一些系統安全。
重要訊息會這樣簽署!

白帽黑帽?

訊息署名為「Hajime的作者」,而訊息亦有使用數碼簽署,Grange認為這的確是編寫Hajime的人所發之訊息。然而他質疑這位神祕人是否真正的「白帽」黑客——即為測試網絡及系統安全而入侵的黑客——僅嘗試確保系統安全而編寫Hajime,因為程式仍然在系統設有後門。另外,程式採用模組化設計,假如Hajime作者改變心意,有可能將受感柒的裝置轉為作不當用途。

話雖如此,Grange亦指出安裝了Hajime的裝置確實改善了保安,因為Hajime會封鎖4個已知在不少裝置會被用來入侵的通訊埠。

科技媒體《Ars Technica》的編輯Dan Goodin則認為,Hajime依然在用戶不知情下入侵了裝置,此舉在大部份地方犯法,亦不合倫理,因此他認為屬於介乎「白帽」與「黑帽」(具惡意)之間的「灰帽」。不過Goodin同時指出,面對越來越多防衛脆弱的裝置,殭屍網絡的問題似乎只會更加嚴重,雖然上述程式並不合法,但同時是對這問題可以理解甚至無可避免的回應。

善良的惡意程式?

先假設Hajime的作者立意良好,他也不是第一個嘗試這樣保護裝置的人。2015年一個惡意程式Linux.Wifatch也被發現沒有任何破壞的舉動,反而協助裝置移除惡意程式。Wifatch的作者曾表示,他們沒有使用任何後門或漏洞去入侵裝置,僅使用最簡單的方式及嘗試簡單或預設的密碼(例如「password」),這是所有人都能做的,而他們的程式只感染完全沒有任何保護的裝置。

今個月初,另一個惡意程式BrickerBot專針對一些保安做得極差的裝置——最容易被入侵加入殭屍網絡的裝置——然後令裝置報廢,迫使用家換一個新裝置。一名資訊安全研究人員形容,這是防止殭屍網絡的激烈手段——雖然無法得悉編寫這個程式的人意圖為何。

Grange認為這類「白色蠕蟲」(「善意的惡意程式」)的作用有限,因為一般而言只要裝置重新啟動,其改變就會消失,再次變得不安全。他指出,裝置可能會一天屬於某個殭屍網絡,重新啟動後被Hajime入侵,之後又屬於另一個殭屍網絡…要解決這個問題,必須更新裝置的韌體(firmware),然而每款裝置硬新韌體的方法都不同,有些甚至需要接觸到裝置才能更新。

資訊保安研究的安全問題

此外,Grange指出Hajime這個名字的來源並非程式作者,而是最先發現Hajime的研究人員,後者發現Hajime與Mirai相似,希望同樣以日文來命名——Mirai意思是「未來」,Hajime意思是「開始」。在發現Hajime的報告又提到程式有數個臭蟲,並提供發現的方法,現時有關問題已經解決。Grange認為Hajime的作者是看到研究人員的報告後,喜歡這個名字才在訊息中採用。

Grange希望提出其憂慮︰資訊安全研究人員的報告,會為惡意程式的作者免費提供協助。在今次事件中,為Hajime發現問題未必會帶來破壞,但對於其他惡意程式,可能就會變相助紂為虐。他提醒同行需要小心決定公開多少資訊,在幫助資訊保安人員的同時,又不會令攻擊者得益。

相關文章︰

資料來源︰