IoT Linux 恶意软件及其战术的演变——参考 MITRE ATT&CK TTPs
在这篇文章中,我将探讨随着联网设备数量的增加而演变的攻击模式,并分享针对物联网(IoT)领域的基于 Linux 的恶意软件的研究数据。我试图总结这些恶意软件家族是如何演变的。在研究过程中,我参考了 MITRE ATT&CK 框架来定义恶意软件的能力和特性,并以此定位其战术、技术和程序(TTPs)。
可以看到,用于构建 IoT 僵尸网络的 Linux 恶意软件正在持续地演变和变化。随着时间的推移,攻击者在这一领域的能力既有所增加,也发生了改变。最近,对于黑客来说,数据泄露和横向移动已经不再是主流,因为这些手段在面对 IoT 设备时成功率不高。因此,他们转向了集中式感染。
一位经验丰富的前辈用一个故事形象地描述了这种情况:“与其毒害村庄里通往每户人家的水渠或直接毒害每户人家,不如直接毒害总水塔,这样就实现了集中感染。”
研究表明,有四种不同的新技术开始被广泛应用于新型 IoT 僵尸网络。
一些像权限提升这样的常见技术反而没有被使用。这是因为 IoT 设备通常配置简单,攻击者获取的账户往往已经具备执行命令的权限,或者直接就是 root 账户。
伴随着这些新进展,一些过去曾被使用但如今已被放弃的技术也值得关注。详情如下:
新兴的 IoT 僵尸网络技术:
- 伪装:匹配合法名称或位置 (T1036.005)
- 主机上消除痕迹:文件删除 (T1070.004)
- 文件和目录权限修改:Linux 和 Mac 文件和目录权限修改 (T1222.002)
- 任务/作业:Cron (T1053.003)
被停止/放弃的技术:
- 远程服务 (T1021)
- 利用远程服务 (T1210)
- 系统网络配置发现 (T1016)
下表展示了在恶意软件数据集中,应用最频繁的 10 种能力(或技术),参考自 MITRE ATT&CK 框架。
(此处原文章应有一张来自 MITRE ATT&CK 框架的图片)
不常见的技术:
值得注意的是,IoT 恶意软件的开发者似乎对窃取数据之类的活动并不感兴趣。这可能也是因为 IoT 设备上通常没有存储什么有价值的数据 :) 。在数据收集和渗出方面,目前只发现了一个名为 QSnatch 的恶意软件应用了相关的已知战术。正如文章开头提到的,权限提升技术也并不常见。
我们应如何确保 IoT 设备的安全?
- 正确管理安全漏洞,并尽快将补丁应用到系统中。 一旦补丁发布就立即应用,可以降低因潜在漏洞而受到损害的可能性。
- 使用安全配置。 也就是说,对设备进行安全加固,缩小配置面,这将减少因漏洞或远程攻击而暴露的攻击面。
- 这一点可能最重要:您必须使用强且难以猜测的密码。 除了更改默认的用户名/密码外,用户还应该使用强密码,并在可能的情况下启用双因素/多因素认证,以抵御暴力破解技术的影响。
参考文献:
- The Evolution of IoT Linux Malware Based on MITRE ATT&CK TTPs
- IoT under fire: Kaspersky detects more than 100 million attacks on smart devices in H1 2019FINISHED CSD0tFqvECLokhw9aBeRqgcm84THTq/zdz9BAodkl4qPAG+CbL4XH3uWkwOI1klpRNK8TnE5PrzXiRcbEdwHZfrwjdhPN/tIqck9sJctx+QNQd0QhCCDeey8FqYmYSqXoTnL1COQ2lAqiob0cK4csw==
