但就在這兩天,事件仿佛出現了轉折,hajime由“黑”轉“白”。研究人員認為,hajime設計的初衷很可能是充當一頂“白帽子”,為人們敲響安全的警鐘,而非發動大規模ddos攻擊。
2016年9月30日,一款針對iot裝置的惡意程式mirai在一家線上網站上公布了他的源代碼,攻擊者于當年十月利用源代碼對iot裝置發動攻擊。一場由mirai引起的網絡攻擊導緻美國半個網際網路癱瘓。與此同時還有一種惡意程式也出現了,可能是因為mirai風頭正勁是以這款惡意程式并不為人所熟悉——即hajime。當時rapidity neteorks的安全研究人員正在尋找mirai的活動蹤迹,卻意外發現了與之相似的惡意軟體hajime。
hajime與mirai一樣,旨在攻擊那些防護薄弱的iot裝置。但二者有個關鍵的差別——受mirai影響的裝置采用c&c通訊方式來接收指令,而hajime則通過p2p網絡進行溝通,由此形成的僵屍網絡不那麼集中,并且更難制止。他們之間另一主要的差別在于受hajime影響的是小部分使用arm晶片結構的iot裝置,而受mirai影響的則是使用arm, mips, x86和其他六個平台晶片的裝置。也就是說,這兩種惡意軟體的攻擊對象并非完全重合,但hajime在某種程度上對mirai的傳播進行了遏制。
但影響規模堪比mirai的hajime雖然劫持了大量iot裝置,卻始終沒有發起任何攻擊,他的真正目的為何不得而知。但本周事情發生了轉折。安全公司symantec于當地時間本周二,在其官方部落格釋出文章稱,hajime蠕蟲看上去是頂“白帽子”,旨在保護iot裝置免遭mirai和其它惡意軟體的“毒手”。
受hajime 影響國家top10(圖檔來源:symantec.com)
hajime的某些有趣特性尤為值得一提。線索一,hajime攜帶了開發者注入的資訊,并将其顯示在劫持的終端上,大約每十分鐘一次這些資訊。
目前顯示的資訊如下:
just a white hat, securing some systems. (隻是個白帽子,保護某些系統)
important messages will be signed like this! (重要的資訊都會像這樣顯示)
hajime author. (hajime作者)
contact closed
stay sharp!
上述資訊是加密簽名的,且該惡意程式僅接收某個寫死key的消息,是以這條資訊毫無疑問來自惡意程式作者。
線索二,先前針對hajime程式的報告中提到了hajime存在的漏洞,以及可檢測hajime的簽名。作者似乎仔細研究了這份報告,其中提到的所有漏洞都已得到修複,報告中提到的簽名也已經失效。
而且事實上,“hajime”這個名字并不是程式作者起的——但上述資訊中卻用上了hajime這個名字。這個名字是發現惡意程式的研究人員起的,因為與mirai的相似性,研究人員當時想要以日文對其命名(mirai就是日文,“hajime”在日語中的意思是“開始”)。這意味着程式作者看到了研究者的報告,并且似乎很喜歡這個名字。
實際上,在hajime安裝到裝置上之後的确有提升裝置安全性的動作,它會關閉23、7547、5555和5358端口——這些是許多iot裝置可被利用進行攻擊的端口,比如mirai就針對其中的某些端口。
實際上,這并非首例用來保護iot裝置的設計——早在2014/2015年,linux.wifatch惡意程式與現如今的hajime就比較相似。不過這類惡意程式普遍有個短闆,就是其安全效果是比較臨時的——因為這些“善意程式”針對iot系統做出的改變提升安全性僅在ram中。裝置重新開機後又會重回不安全狀态。
不過以上面這些證據就說hajime作者是白帽子未免武斷。如果真的是個白帽子,理應保護系統而不是在系統上安裝後門。而且hajime的子產品化設計也意味着,如果作者某一天改變意圖,也的确可以利用感染hajime的裝置發動大規模攻擊。同時,thehackernews對此表示,以攻擊他人的方式提醒他人進行防守并不是一件好事。hajiem的作者是否會對那些遭受劫持的裝置進行惡意攻擊也難以保證。
本文來自合作夥伴“阿裡聚安全”,發表于2017年04月25日 13:29.