Tag: IOT

近期，安天CERT捕获到一个Mirai僵尸网络新变种，针对MIPS、ARM和X86等多种架构，利用弱口令感染目标，并等待控制指令进行DDoS攻击。由于该僵尸网络文件名以“Aqua*”命名，我们将其命名为Aquabot。

经分析，Aquabot僵尸网络至少迭代过2个版本。其中v1以Mirai开源框架为基础开发，主要功能为进程管理、弱口令扫描和DDoS攻击。2023年11月捕获的最新v2样本在v1基础上针对进程管理、隐匿和传播等功能进行迭代，同时增加了检测设备进程启动参数，以防止设备重启、关机和断电从而延长其生存时间的功能。

经验证，安天探海威胁检测系统（简称PTD）能够实现对该僵尸网络C2通信的精准检测。

随着安全威胁泛化，物联网僵尸网络得到了快速发展，Aquabot僵尸网络基于Mirai开源框架、模块复用和定制化开发完成了多次迭代。由于IoT设备型号各异、存储空间局限、自身安全防护能力有限，难以“外挂”第三方安全产品，并且需要保持长期联网在线运行，对此，安天建议：

1. 加强关口前移，融合原生安全能力

建议IoT设备生产方在规划、研发、生产制造阶段融入安全基因，预先嵌入安天智能安全内核和威胁检测引擎，面向能源、交通、制造等智能场景，形成出厂即具备原生威胁检测和高水平的初始安全基线，持续保障用户的业务安全、稳定运行，进一步提升品牌竞争力和影响力。

2. 强化网络威胁监测与响应

建议IT运营者部署网络威胁检测与响应系统（NTA或NDR）可以结合Aquabot僵尸网络相关信标进行告警。安天探海威胁检测系统集成了恶意代码检测引擎、网络行为检测引擎、威胁情报检测引擎、威胁检测模型、自定义场景检测引擎等，可有效检测网络扫描探测、远程漏洞利用、攻击载荷投放、僵尸网络活动、病毒扩散传播、木马远程控制、web 攻击等行为。

图2-1使用威胁情报库检出威胁行为

图2-2 使用网络行为特征检出威胁行为

图2-3 使用模型检出僵尸网络漏洞扫描行为、弱密码破解用户口令行为

3.3. 加强IoT设备访问控制和运维

建议IT运营者保持系统和固件均升级为最新版本、优化默认安全配置策略、设置合理的访问控制策略、完善远程运维连接的管控和审计等。

建议IT运营者修改设备出厂默认口令并设置安全口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时保证不同型号的设备使用不同的安全口令，并定期更换口令，避免长时间使用同一口令。

4. 遭受攻击及时应急处置

若出现网络异常堵塞或其它情况，联系安天应急响应团队（CERT@antiy.cn）处置威胁，或拨打安天7*24小时服务热线400-840-9234寻求帮助。若遭受攻击，建议及时隔离被攻击IoT设备或主机，并保护现场等待安全工程师对IoT设备和计算机进行排查。

本文选取Aquabot X86架构的样本为主要分析对象。Aquabot-v1主体上沿用了Mirai僵尸网络结构框架，主要功能分为初始化、进程管理、弱口令扫描和命令控制四部分。

表3-1 Aquabot-v1样本标签…