時(shí)訊：連你家電器的算力都不放過(guò)，新發(fā)現(xiàn)Linux惡意軟件用IoT設(shè)備挖礦

蕭簫 發(fā)自 凹非寺

量子位 | 公眾號(hào) QbitAI

繼電腦和手機(jī)后，挖礦病毒也盯上了IoT設(shè)備。

(資料圖)

無(wú)論是智能冰箱、彩電還是洗衣機(jī)，但凡有點(diǎn)算力的（物聯(lián)網(wǎng)和端側(cè)）設(shè)備都可能被這種病毒感染，用于挖掘加密貨幣等。

AT&T Alien Labs新發(fā)現(xiàn)的Linux惡意軟件Shikitega就是一例。

相比之前的一些IoT設(shè)備，Shikitega更加隱蔽，總共只有376字節(jié)，其中代碼占了300字節(jié)。

那么，這個(gè)新型惡意軟件究竟是如何感染設(shè)備的？

利用加殼技術(shù)“隱身”

具體來(lái)說(shuō)，Shikitega核心是一個(gè)很小的ELF文件（Linux系統(tǒng)可執(zhí)行文件格式）。

這個(gè)ELF文件加了動(dòng)態(tài)殼，以規(guī)避一些安全防護(hù)軟件的查殺。

加殼，指利用特殊算法壓縮可執(zhí)行文件中的資源，但壓縮后的文件可以獨(dú)立運(yùn)行，且解壓過(guò)程完全隱蔽，全部在內(nèi)存中完成。

動(dòng)態(tài)殼則是加殼里面更加強(qiáng)力的一種手段。

從整體過(guò)程來(lái)看，Shikitega會(huì)對(duì)端側(cè)和IoT設(shè)備實(shí)施多階段感染，控制系統(tǒng)并執(zhí)行其他惡意活動(dòng)，包括加密貨幣的挖掘（這里Shikitega的目標(biāo)是門羅幣）：

通過(guò)漏洞利用框架Metasploit中最流行的編碼器Shikata Ga Nai（SGN），Shikitega會(huì)運(yùn)行多個(gè)解碼循環(huán)，每一個(gè)循環(huán)解碼下一層。

最終，Shikitega中的有效載荷（惡意軟件的核心部分，如執(zhí)行惡意行為的蠕蟲(chóng)或病毒、刪除數(shù)據(jù)、發(fā)送垃圾郵件等的代碼）會(huì)被完全解碼并執(zhí)行。

這個(gè)惡意軟件利用的是CVE-2021-4034和CVE-2021-3493兩個(gè)Linux漏洞，雖然目前已經(jīng)有修復(fù)補(bǔ)丁，但如果IoT設(shè)備上的舊版Linux系統(tǒng)沒(méi)更新，就可能被感染。

事實(shí)上，像Shikitega這樣感染IoT設(shè)備的惡意軟件已經(jīng)很常見(jiàn)了。

例如在今年三月，AT&T Alien Labs同樣發(fā)現(xiàn)了一個(gè)用Go編寫(xiě)的惡意軟件BotenaGo，用于創(chuàng)建在各種設(shè)備上運(yùn)行的僵尸網(wǎng)絡(luò)（Botnets）。

對(duì)此有不少網(wǎng)友吐槽，IoT設(shè)備的安全性堪憂：

也有網(wǎng)友認(rèn)為，IoT設(shè)備應(yīng)該搞WiFi隔離，不然就會(huì)給病毒“可乘之機(jī)”：

而除了IoT設(shè)備，更多人的關(guān)注點(diǎn)則放在了Linux系統(tǒng)的安全上。

Linux惡意軟件數(shù)量飆升650%

這幾年來(lái)，Linux惡意軟件的多樣性和數(shù)量都上升了。

根據(jù)AV-ATLAS團(tuán)隊(duì)提供的數(shù)據(jù)，新的Linux惡意軟件的數(shù)量在2022年上半年達(dá)到了歷史新高，發(fā)現(xiàn)了近170萬(wàn)個(gè)。

與去年同期（226324個(gè)惡意軟件）相比，新的Linux惡意軟件數(shù)量飆升了近650%。

除了Shikitega，近來(lái)發(fā)現(xiàn)的流行Linux惡意軟件也變得更加多樣，已知的包括BPFDoor、Symbiote、Syslogk、OrBit和Lightning Framework等。

△圖源AV-ATLAS

對(duì)此有網(wǎng)友提出疑惑，正因?yàn)長(zhǎng)inux開(kāi)源，它似乎無(wú)論如何都會(huì)面臨病毒和惡意軟件的泛濫？

有網(wǎng)友回應(yīng)稱，一方面，雖然舊的Linux系統(tǒng)可能充滿漏洞、成為病毒的“溫床”，但它在經(jīng)過(guò)升級(jí)、打了補(bǔ)丁之后就會(huì)變好。

另一方面，開(kāi)發(fā)惡意軟件本身也不是“有手就能做”的事情。

畢竟安全研究人員會(huì)不斷修復(fù)并堵上所有漏洞，而惡意軟件開(kāi)發(fā)者必須在他們修復(fù)前找到漏洞、開(kāi)發(fā)出惡意軟件，還得讓它們“大流行”，最終實(shí)現(xiàn)自己的目的。

要是你家還有在用老舊Linux系統(tǒng)的設(shè)備，要注意及時(shí)升級(jí)or做好網(wǎng)絡(luò)隔離等安全措施~

關(guān)鍵詞： 連你家電器的算力都不放過(guò) 新發(fā)現(xiàn)Linux惡意軟件用IoT設(shè)備