IBM：新版Mirai僵尸网络让物联网设备成为“比特币挖矿奴隶”

还记得物联网僵尸网络吗？就是去年那个曾经使全球很多大型网站掉线的僵尸网络。

好吧，如今又检测到了一个新的版本，除了能够发动DDoS攻击之外，新版僵尸网络还能被用于比特币挖矿。

在数字时代，黑客有可能会感染和控制不安全的物联网（IOT）设备，如烤面包片机、摄像头或其他联网设备。黑客可以将这些设备与一个僵尸网络捆绑在一起，利用这些设备的综合能力向网站或互联网结构上发送垃圾邮件，使它们的速度变缓或使其掉线。

去年秋季所发生的一系列攻击就是这种情况，当时黑客使用了一种叫做Mirai的流氓软件。

Mirai软件不久之后就迅速被开源——这令安全工程师非常惊愕——至此之后，网上就出现了很多这个僵尸网络的迭代版本，这些版本具有新的功能。

根据IBM X-Force安全研究团队的报告表示，他们检测出来了一个叫做ELF Linux/Mirai的僵尸网络，可被用于比特币挖矿。这似乎是某些不明身份的黑客正在使用从物联网设备搜集到的算力来挖掘数字货币，从而换取现金。

IBM管理安全服务高级威胁研究员Dave McMillen认为，这可能是未来IOT僵尸网络使用案例的一个预兆。

McMillen告诉Coindesk说：

“这个ELF/Mirai变体在未来可能会对其他人很有吸引力，因为这可能会涉及数量极其庞大的设备。”

不过，这位研究员指出这个僵尸网络看起来目前未能成功挖出比特币。该安全团队认为这个僵尸网络的挖矿之举看起来只是一次尝试。

挖矿“尖峰信号（blip)”

那么究竟是怎么回事？IBM又是如何发现这个僵尸网络的挖矿组件的？

McMillen解释说：

“我们在IBM X-Force监视的客户端环境数据中检测到命令注入活动出现了一个高峰，因此我们对此进行了更深入的调查。”

该安全团队发现流量与一个ETL 64位二进制文件相关，报告将此描述为一个“尖峰信号”，该尖峰信号增长了50%。

IBM X-Force安全团队对这个二进制文件进行了“解剖”，发现这个流氓软件的Linux版本与Windows版本相似。

McMillen还说：

“很多工具都将这个僵尸网络检测为一个奴隶矿工，不过，我们还正在调查这个僵尸网络的其他属性。”

尽管Mirai僵尸网络已经有了很多变体，不过ELF Linux/Mirai具有一些额外的能力，它可以执行“SQL注入”（一种可以控制数据库的臭名昭著的方式）以及执行所谓的”蛮力“攻击。

但是，ELF Linux/Mirai的Linux版本具有额外的能力——比特币矿工组件（查看）。

未来的威胁？

IBM推测这个僵尸网络的创建者可能正在寻找一种通过破坏IOT设备来进行比特币挖矿的挣钱方式。

IBM的一篇博客写道：

“通过Mirai的力量来成功感染数千物联网设备，这样就可以获得一种可能性：比特币矿工可以作为一个大型挖矿联合体共同协作。我们还未确定这种能力，不过已经发现这是一种有趣并且令人担忧的可能性。”

“一种情况就是，Mirai僵尸网络处于空转状态并正在等待进一步的指示，它们可能会被用于比特币挖矿。”

尽管这些想法只是一种推测，IBM在报告中指出了比特币已经被用于其他犯罪活动的事实——如流氓软件将用户计算机数据进行加密并要求支付比特币作为赎金，因为比特币具有去中心化性质，所以被认为是一种隐私性更高的货币。

这种技术可能会有更多的有用使用案例，例如最近有一家公司正在创建一种比特币僵尸网络来帮助保护IOT设备。

简单的防御措施

那么，用户要如何保护他们的联网烤箱不被“招募”为一个比特币挖矿奴隶呢？

这种Mirai流氓软件会利用一种非常简单的攻击向量。

问题在于很多物联网设备都预装了密码。然而，很多用户从不更改这些预装的密码，所以攻击者只需要找到默认密码就能“黑”进这些设备。

McMillen对用户的建议就是更改这些密码。不过，他也表示希望IOT公司开始解决这个问题。

他说：

“物联网设备制造商可以寻找一些更加安全的方法来管理这些凭证，也许可以通过推动一种强制性更改或者随机默认登录。”