白帽子黑客打造Hajime保護物聯網設備安全

E安全4月22日訊
賽門鐵克公司表示，一款名為「Hajime」的新型蠕蟲正在對抗殭屍網路和其它惡意威脅，以達到控制物聯網設備的目的。Hajime似乎由「義工」黑客打造，旨在改進物聯網設備安全。Rapidty
Networks於2016年10月發現Hajime，不過直到最近才確認這款惡意軟體並未危害物聯網設備，相反，它還拔刀相助，維護物聯網設備安全。

Hajime可以幫助IT決策者及其組織機構保護物聯網設備安全。然而，它的積極影響可能是暫時的，企業領導層應該認識到，良好的管理做法無可取代。

什麼是Hajime？

美國科技博客網站解釋稱，Hajime在Mirai殭屍網路出現之後浮出水面。

Hajime與Mirai類似的是，通過不安全的設備（具有開放的Telnet埠，並使用默認密碼）進行傳播。然而，Hajime構建在對等網路上，並隨著時間的推移傳播到其它設備上。但這款惡意軟體比Mirai更先進，它採用多個步驟掩蓋進程和隱藏文件。

賽門鐵克稱，從代碼就可以看出，Hajime應該費了開發者不少時間和精力。

賽門鐵克指出，Hajime自初次被發現以來一直在迅速傳播。雖然很難猜測對等網路的規模，但該公司保守估計應該有好幾萬台物聯網設備。

對物聯網設備而言到底是好是壞？

賽門鐵克過去6個月追蹤了Hajime蠕蟲的全球感染情況，最終發現巴西和伊朗設備被感染。然而，這未必就是壞消息。因為研究人員發現，Hajime正使用自我複製模塊對抗Mirai和其它物聯網設備構成的殭屍網路。

受Hajime影響最大的前十個國家

Hajime缺失重要的負面功能。這款蠕蟲沒有任何DDoS能力或攻擊代碼，只有傳播模塊。它只是簡單從控制器獲取一份白帽子黑客聲明，大約每10分鐘就會在屏幕上顯示一條消息：

一名保護某些系統安全的白帽子黑客

重要消息將像這樣簽署！

Hajime作者

聯繫已關閉

請保持警惕！

消息以加密方式簽名，且該蠕蟲將僅接受硬編碼密鑰簽名的消息，因此，毋庸置疑的是，該消息來自該蠕蟲的真正製作者。

賽門鐵克發表博文指出，安裝這款蠕蟲事實上還有助於改進物聯網設備的安全。Hajime可以阻擋外界對23、7547、 5555 和5358埠的訪問，而這些埠託管著可利用的服務。

而這也是區分Hajime無害的另一個證據，因為Mirai就會以這些埠為目標。

給IT決策者的建議

無疑，Hajime在對抗Mirai和其它物聯網惡意軟體中充當羅賓漢的角色。其它白帽子蠕蟲，例如Linux.Wifatch和BrickerBot也設法保護設備安全或使系統離線。有人指出，不重視設備安全的物聯網廠商可能會對「義工」惡意軟體感興趣。

雖然這些蠕蟲可以幫助對抗惡意威脅，但IT決策者不能理所當然接受它們的幫助。況且這些工具的使命壽命較短，一旦物聯網設備重啟，它將反彈到不安全的狀態。賽門鐵克甚至質疑，企業依賴身份不明的白帽子黑客是否是明智之舉，因為這些白帽子黑客的意圖可能會發生轉變。

賽門鐵克提出一些避免物聯網設備被感染的建議，如下：

• 在購買物聯網設備之前先對其功能和安全功能進行研究。

• 檢查網路上使用的物聯網設備。

• 更改設備上的預設認證信息。

• 設備賬戶和 Wi-Fi 網路賬戶應使用獨特的強密碼。

• 設置Wi-Fi保護接入(WPA)時使用強加密方法。

• 禁用不必要的功能和服務。

• 禁用Telnet登錄並盡量使用SSH。

• 禁用路由器的通用隨插即用 (UPnP)功能，除非有絕對必要。

• 根據自己的要求和安全策略調整物聯網設備的默認隱私和安全設置。

• 在不使用物聯網設備時，禁用或防止對物聯網設備的遠程訪問。

• 儘可能用有線連接代替無線連接。

• 定期查看設備製造商網站以了解固件升級情況。

• 確保硬體故障不會讓設備處於危險狀態。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。