IoT殭屍養成出新招，Rakos木馬專攻SSH傳輸埠，預設遠端服務

jis2577

研究人員指出，通報的受害用戶雖然曾經對系統設定強密碼，但是他們忘了這些裝置開啟了SSH線上服務，會在回覆出廠設定時也回覆為一般較簡單的預設密碼。只要連網幾小時，這些機器就可能遭到入侵。

安全公司ESET發現名為Linux/Rakos的木馬程式，會透過SSH埠入侵嵌入式裝置或Linux伺服器，藉此建立殭屍網路。
ESET研究人員發現，和去年的Linux/Moose手法類似，Linux/Rakos是利用暴力破解法來破解SSH登入驗證。它一開始會從小量IP清單進行掃瞄，看看是否有採用弱密碼保護的裝置，一旦發現即會加以感染、收編為殭屍系統，進而逐步擴散，最終建立成廣大的殭屍網路。
Linux/Rakos主要鎖定SSH傳輸埠開啟的嵌入式物聯網裝置及伺服器。研究人員指出，通報的受害用戶雖然曾經對系統設定強密碼，但是他們忘了這些裝置開啟了線上服務，會在回覆出廠設定時也回覆為一般較簡單的預設密碼。只要連網幾小時，這些機器就可能遭到入侵。
Linux/Rakos是以Go語言寫成，它會以YAML格式下載組態檔，當中包含C&C伺服器、用於暴力破解裝置的憑證及內部參數。一旦安裝於受害裝置，Linux/Rakos就會啟用本機HTTP伺服器服務，以便未來版本可以刪掉任何執行個體（instance），也可從URL查詢中解析出參數。它還會建立可聽取所有介面的Web server，並回傳關於裝置的資訊，如IP位址。
研究人員目前沒有發現明顯的惡意活動，像是DDoS攻擊或散佈垃圾郵件，但表示，這隻木馬將裝的IP位址、使用者名稱及密碼傳送到外部，可讓攻擊者未來為所欲為，加上其使用的危險程式碼，研究人員相信這不太可能只是無害的實驗或學術作品。
所幸只要系統重新開機就能破壞Linux/Rakos的活動。不過研究人員建議伺服器或裝置管理員仍應留心，在系統回覆出廠設定時需記得強化SSH憑證及登入驗證資訊，像是伺服器IP、用戶名稱及密碼等。

panups

qxy50244

qingshimingyue

myntpcb

黑客们要出招了。