「殭屍網絡」大戰︰入侵是為了保護你的裝置？

物聯網（Internet of Things, IoT）興起，各種無線裝置為用戶帶來不少方便之餘，亦引起安全危機。不少裝置的保安機制有漏洞，而且缺乏更新，容易被黑客入侵，令裝置加入「殭屍網絡」（botnet），被用作進行「分散式阻斷服務攻擊」（DDoS）。

2016年一次大型DDoS攻擊，流量高達1.1 Tbps，遠遠超越原本的記錄，據稱有關的殭屍網絡利用了上萬部網絡攝錄機協助攻擊，預計未來類似的大型攻擊會變得更加常見。

上星期資訊保安公司賽門鐵克（Symantec）的研究人員Waylon Grange發現，去年10月發現的殭屍網絡Hajime，透過使用預設密碼的不安全裝置散播，跟另一大型殭屍網絡Mirai類似。Grange指在過去幾個月Hajime迅速散佈，賽門鐵克追蹤網絡，保守估計有數以萬計裝置受到感柒，主要在巴西及伊朗。卡巴斯基的研究人員則發現有近3萬部裝置受感染。

Hajime比起Mirai更加隱蔽及難刪除，卻明顯缺乏一些功能，例如不能進行DDoS攻擊，除了傳播出去的組件外也沒有其他攻擊程式碼。最特別的是，每隔約10分鐘會顯示一個訊息︰

只是一個白帽，確保一些系統安全。
重要訊息會這樣簽署！

白帽黑帽？

訊息署名為「Hajime的作者」，而訊息亦有使用數碼簽署，Grange認為這的確是編寫Hajime的人所發之訊息。然而他質疑這位神祕人是否真正的「白帽」黑客——即為測試網絡及系統安全而入侵的黑客——僅嘗試確保系統安全而編寫Hajime，因為程式仍然在系統設有後門。另外，程式採用模組化設計，假如Hajime作者改變心意，有可能將受感柒的裝置轉為作不當用途。

話雖如此，Grange亦指出安裝了Hajime的裝置確實改善了保安，因為Hajime會封鎖4個已知在不少裝置會被用來入侵的通訊埠。

科技媒體《Ars Technica》的編輯Dan Goodin則認為，Hajime依然在用戶不知情下入侵了裝置，此舉在大部份地方犯法，亦不合倫理，因此他認為屬於介乎「白帽」與「黑帽」（具惡意）之間的「灰帽」。不過Goodin同時指出，面對越來越多防衛脆弱的裝置，殭屍網絡的問題似乎只會更加嚴重，雖然上述程式並不合法，但同時是對這問題可以理解甚至無可避免的回應。

善良的惡意程式？

先假設Hajime的作者立意良好，他也不是第一個嘗試這樣保護裝置的人。2015年一個惡意程式Linux.Wifatch也被發現沒有任何破壞的舉動，反而協助裝置移除惡意程式。Wifatch的作者曾表示，他們沒有使用任何後門或漏洞去入侵裝置，僅使用最簡單的方式及嘗試簡單或預設的密碼（例如「password」），這是所有人都能做的，而他們的程式只感染完全沒有任何保護的裝置。

今個月初，另一個惡意程式BrickerBot專針對一些保安做得極差的裝置——最容易被入侵加入殭屍網絡的裝置——然後令裝置報廢，迫使用家換一個新裝置。一名資訊安全研究人員形容，這是防止殭屍網絡的激烈手段——雖然無法得悉編寫這個程式的人意圖為何。

Grange認為這類「白色蠕蟲」（「善意的惡意程式」）的作用有限，因為一般而言只要裝置重新啟動，其改變就會消失，再次變得不安全。他指出，裝置可能會一天屬於某個殭屍網絡，重新啟動後被Hajime入侵，之後又屬於另一個殭屍網絡…要解決這個問題，必須更新裝置的韌體（firmware），然而每款裝置硬新韌體的方法都不同，有些甚至需要接觸到裝置才能更新。

資訊保安研究的安全問題

此外，Grange指出Hajime這個名字的來源並非程式作者，而是最先發現Hajime的研究人員，後者發現Hajime與Mirai相似，希望同樣以日文來命名——Mirai意思是「未來」，Hajime意思是「開始」。在發現Hajime的報告又提到程式有數個臭蟲，並提供發現的方法，現時有關問題已經解決。Grange認為Hajime的作者是看到研究人員的報告後，喜歡這個名字才在訊息中採用。

Grange希望提出其憂慮︰資訊安全研究人員的報告，會為惡意程式的作者免費提供協助。在今次事件中，為Hajime發現問題未必會帶來破壞，但對於其他惡意程式，可能就會變相助紂為虐。他提醒同行需要小心決定公開多少資訊，在幫助資訊保安人員的同時，又不會令攻擊者得益。

相關文章︰

• 「無檔案」惡意軟件隱身難發現　逾140銀行企業中招
• 惡意軟件博物館︰讓你在網上體驗古老病毒　又不損害電腦
• 加密勒索軟件︰鎖上你的檔案　不付贖金打不開

資料來源︰

• Hajime worm battles Mirai for control of the Internet of Things (Symantec)
• Vigilante botnet infects IoT devices before blackhats can hijack them (Ars Technica)
• Hajime, the mysterious evolving botnet (Securelist)
• Meet Hajime, the IoT Botnet Built to Vaccinate Your Devices Against Mirai (ExtremeTech)
• Record-breaking DDoS reportedly delivered by >145k hacked cameras (Ars Technica)
• "BrickerBot" Results In PDoS Attack (Radware)
• Rash of in-the-wild attacks permanently destroys poorly secured IoT devices (Ars Technica)
• Is there an Internet-of-Things vigilante out there? (Symantec)