物聯(lián)網(wǎng)僵尸來(lái)了。它們數(shù)量眾多,我們短期內(nèi)無(wú)法將其全部消滅。
　　它們很可能危及你的設(shè)備安全。因此，現(xiàn)在就應(yīng)該采取措施，確保你的設(shè)備免受感染。
　　在之前的博文（物聯(lián)網(wǎng)僵尸吞噬互聯(lián)網(wǎng)）http://blogs.windriver.com/wind_river_blog/2016/10/iot-zombies-are-eating-the-internet.html)中，我們深入探討了最近發(fā)生的大規(guī)模DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊事件。在這些攻擊事件中，物聯(lián)網(wǎng)設(shè)備被用作機(jī)器人或者僵尸。該博文發(fā)布后不久，一個(gè)自稱是該惡意軟件作者的人公布了攻擊軟件的源代碼。這款名為Mirai的惡意軟件是一種木馬病毒，感染物聯(lián)網(wǎng)設(shè)備后，向多家知名網(wǎng)站發(fā)起了DDoS攻擊，受害設(shè)備數(shù)量驚人。Malware Tech估計(jì)有12萬(wàn)臺(tái)設(shè)備受到感染，而Level 3則稱有150萬(wàn)臺(tái)設(shè)備受到感染。這起攻擊事件只是最新的一例。
　　這些病毒是永久性的。
　　在思考如何應(yīng)對(duì)攻擊時(shí)，借用一下醫(yī)學(xué)病毒學(xué)原理來(lái)更好地了解一下Mirai的傳播方式，對(duì)我們是很有幫助的。
　　醫(yī)學(xué)上的感染分析方法是采用曲線圖來(lái)表現(xiàn)易感染、感染、修復(fù)三者的關(guān)系。這一方法同樣適用于我們現(xiàn)在面臨的問(wèn)題：
　　

　　設(shè)備一旦被感染，就會(huì)利用偽證書在網(wǎng)絡(luò)上尋找?guī)в虚_(kāi)放Telnet端口的設(shè)備。一旦找到這樣的設(shè)備，就將木馬病毒植入其中，使其變成同樣的傀儡機(jī)去感染更多目標(biāo)。這個(gè)過(guò)程如上圖曲線的第一段所示。
　　有些設(shè)備有的可以修復(fù)或者受到保護(hù)，但很多都不能，于是成為被永久感染的設(shè)備。
　　即使那些修復(fù)了的設(shè)備，也不能避免被其他感染病毒的設(shè)備再次感染。由于許多設(shè)備被永久感染，襲擊將隨時(shí)可能卷土重來(lái)。
　　我們可以殺死Mirai病毒嗎？
　　有些方法可以殺死Mirai病毒，或者至少限制其影響。
　　修復(fù)所有設(shè)備
　　實(shí)際上，這是不可能的。大部分設(shè)備擁有者都不知道他們的設(shè)備已被感染，也不具備修復(fù)設(shè)備的技能，甚至也 沒(méi)有意愿修復(fù)設(shè)備（因?yàn)闆](méi)有受到直接影響）。
　　封殺控制-指令服務(wù)器
　　Mirai的弱點(diǎn)之一是新感染的設(shè)備需要向指令-控制服務(wù)器注冊(cè)后方可下載指令。這些是散播病毒的服務(wù)器，而非可能的受感染設(shè)備。如果控制-指令服務(wù)器被封殺，將會(huì)限制Mirai病毒的擴(kuò)散。
　　保護(hù)目標(biāo)
　　為了應(yīng)對(duì)近日發(fā)生的物聯(lián)網(wǎng)DDoS攻擊，安全網(wǎng)站krebsonsecurity.com被迫更換了托管公司。DDoS攻擊并非是新鮮事，防御辦法還是有的，像這種轉(zhuǎn)移也是行之有效的應(yīng)對(duì)措施之一。
　　不過(guò)，說(shuō)到底，要想修復(fù)目前所有被感染或者潛在會(huì)被感染的設(shè)備并不現(xiàn)實(shí)，而且我們也做不到徹底清理感染。
　　前景展望
　　即便不是Mirai，也會(huì)有其他自我繁殖的惡意軟件會(huì)被開(kāi)發(fā)出來(lái)感染其它物聯(lián)網(wǎng)設(shè)備。Mirai源代碼的公開(kāi)將加快后續(xù)病毒的開(kāi)發(fā)步伐。
　　Mirai源代碼的公開(kāi)會(huì)造成這一代碼被廣泛利用、發(fā)展?？梢灶A(yù)見(jiàn)，將來(lái)的攻擊手段會(huì)取消對(duì)指令和控制服務(wù)器的依賴，從而使殺毒任務(wù)更加艱巨。
　　目前，Mirai主要進(jìn)行DDoS攻擊。但是未來(lái)，它將利用物聯(lián)網(wǎng)設(shè)備作為僵尸物聯(lián)網(wǎng)設(shè)備，攻擊同一網(wǎng)絡(luò)上的其它系統(tǒng)。
　　設(shè)備免疫
　　目前看來(lái)，物聯(lián)網(wǎng)僵尸在可預(yù)見(jiàn)的將來(lái)都會(huì)存在。我們可以避免甚至隔離物聯(lián)網(wǎng)僵尸，但是隨著網(wǎng)絡(luò)的變更以及新設(shè)備的發(fā)展，新的病毒感染途徑也會(huì)隨之出現(xiàn)。由于感染的風(fēng)險(xiǎn)持續(xù)存在，設(shè)備成為感染目標(biāo)只是個(gè)時(shí)間問(wèn)題。因此，對(duì)設(shè)備進(jìn)行免疫，使其免受感染至關(guān)重要。
　　顯然，免疫的第一步首先是消除已知的感染方式。消除或者阻斷不必要的服務(wù)（如Telnet），消除默認(rèn)證書，代之以安全密碼，阻斷與外部端點(diǎn)的意外連接。
　　但從長(zhǎng)遠(yuǎn)來(lái)看，還需采取進(jìn)一步措施防止出現(xiàn)可被適應(yīng)型病毒利用的漏洞。這就是CWE/SANS Top 25 Most Dangerous Software Errors (http://cwe.mitre.org/top25/)等工具軟件的作用，同時(shí)也是風(fēng)河能夠效力之處。
　　風(fēng)河產(chǎn)品可以提供以下多層次、預(yù)先集成的防護(hù)措施：
　　-安全啟動(dòng)和初始化，防范受影響的可執(zhí)行代碼
　　-靜態(tài)數(shù)據(jù)加密，保護(hù)證書及其它敏感信息
　　-雙向驗(yàn)證，阻止不法終端及惡意嘗試連接
　　-通信加密，保護(hù)敏感信息
　　-操作系統(tǒng)增強(qiáng)，防止權(quán)限升級(jí)
　　-防火墻阻斷意外的外部訪問(wèn)或者意外的外部連接
　　-安全更新修改需經(jīng)授權(quán),防止惡意修改
　　風(fēng)河的可定制系統(tǒng)產(chǎn)品集成了這些防護(hù)措施，使無(wú)關(guān)的服務(wù)被排除在設(shè)備之外。這樣就最大程度減少了病毒感染的途徑，使設(shè)備具有強(qiáng)大的防御功能。
　　此外，風(fēng)河的專業(yè)服務(wù)（Professional Services）團(tuán)隊(duì)能夠從建立和部署安全證書的工具和流程，到優(yōu)化硬件安全功能的使用，以及安全風(fēng)險(xiǎn)評(píng)估和安全測(cè)試等多方面，對(duì)產(chǎn)品進(jìn)行評(píng)定，幫您定制適合您的產(chǎn)品。
　　永絕后路
　　物聯(lián)網(wǎng)僵尸會(huì)侵入你的設(shè)備、與設(shè)備互訪并尋找繼續(xù)感染其他設(shè)備的途徑。保護(hù)設(shè)備的方法有很多種，而預(yù)先集成的解決方案不僅能夠使設(shè)備免受當(dāng)前的病毒種類感染，并且能夠阻止將來(lái)變種病毒的侵襲。這種方法就是免疫——將使你的設(shè)備長(zhǎng)期保持健康。