HKCert
HKCERT logo 香港電腦保安事故協調中心

HKCERT logo 香港電腦保安事故協調中心

保安指南

Mirai 惡意軟件的清理及偵測

發布日期: 24 / 01 / 2017
最後更新: 24 / 01 / 2017

1. 甚麼是 Mirai?

 

Mirai ─ 相信是來自日文「未來」一詞 ─ 是一種以 Linux 為基礎的惡意件。它針對連接互聯網的網絡裝置,例如家用路由器、IP 攝影機、錄影機等等,這些裝置又稱為「物聯網」裝置。

 

此惡意軟件於 2016 年 9 月首次​被發現並參與針對 KrebsOnSecurity.com 及 OVH 寄存服務的大規模分散式阻斷服務攻擊,以及其後針對域名供應商 Dyn 的攻擊,導致用戶未能訪問很多美國及歐洲地區的大型網站。

 

是次攻擊是由已受 Mirai 感染的物聯網裝置如路由器及 IP 攝影機所組成的彊屍網絡而發動。這些裝置之所以存有漏洞是因為它們大部分都沒有更新軟件,而且使用未有加強的登入驗證,意即它們使用眾所周知的預設用戶名稱及密碼。

 

2. 處理受 Mirai 感染的裝置

Mirai 只是寄存於揮發性記憶體內,可以單靠重啟受感染的裝置清除。可是,裝置仍會在網絡中再次被掃瞄及感染,因此大家須依照以下步驟處理:

  1. 若你懷疑裝置受到感染,即時終止裝置的網絡連線及關掉裝置。
  2. 檢查你的路由器或防火牆有沒有向互聯網開放 TCP 23 埠。若然,即時關閉它。
  3. 重新開啟受感染的裝置。
  4. 復原裝置至原廠設定。
  5. 透過管理員介面把預設密碼更改為高強度密碼。
  6. 保持裝置的 Telnet 服務及 TCP 23 埠關閉。若果需要從互聯網存取設備,請使用 SSH 或其他 VPN 服務,以及加強密碼和認證。

注意:有需要請參考裝置的說明書或諮詢生產商。

 

3. 預防感染 Mirai

  1. 研究者已指出攻擊者透過 Telnet 服務(TCP 23 埠)入侵裝置並感染 Mirai 惡意軟件。若無需使用前述提及的服務,請於家用路由器或防火牆中關閉相關服務及通訊埠。你可於此網頁檢查裝置有沒有開放前述的服務:
    http://www.yougetsignal.com/tools/open-ports/
  2. 若無需把裝置直接連接到互聯網,應把裝置安裝於受保護的內部網絡,否則應使用較安全的 SSH 或其他 VPN 服務。
  3. 若有計劃購買新裝置,確保裝置的韌體能獲取更新。詢問生產商有關更新產品韌體的模式及歷史。

 

4. 監視裝置的備註

大部分人或公司於家中或企業設施內安裝互聯網攝影機及數碼錄影機都是出於環境保安或安全理由。雖然 Mirai 惡意軟件未必影響裝置的監控功能,但是 Mirai 所建立的「後門」會令到裝置遭受其他攻擊的威脅,例如容許其他罪犯控制甚至窺看你的家中或設施內的情況。因此,受 Mirai 感染的攝影機及數碼錄影機的確對你的環境構成保安風險。