Palo Alto Networks 威脅情報小組Unit 42近日發佈報告, 宣稱發現物聯網/Linux僵屍網路Tsunami的最新變種並命名為Amnesia。 Amnesia僵屍網路允許攻擊者利用未修補的遠端代碼執行針對數位視訊錄影機( DVR )設備的漏洞攻擊, 2016年3月這一漏洞就被發現並公佈, 這些DVR設備由TVT Digital 生產並 通過70多家合作夥伴分銷至全球。 根據我們的掃描資料 , 全球約有227000台設備受此漏洞影響, 主要覆蓋國家和地區包括:臺灣、美國、以色列、土耳其和印度。
受漏洞影響的TVT Digital DVR設備分佈圖
此外, 我們認為Amnesia是首個採用虛機逃逸技術來規避惡意軟體分析沙箱的Linux惡意軟體。 通常虛機逃逸技術與Microsoft Windows和Google Android惡意軟體相關聯。 與此類似, Amnesia會探測其是否運行於VirtualBox、VMware或者QEMU虛機之上, 一旦探測出這些運行環境Amnesia便會刪除檔案系統中的所有檔 , 從而卸載虛擬Linux系統, 這不僅會影響到惡意軟體分析沙箱的正常工作, 還會影響到某些VPS和公有雲中的QEMU Linux伺服器。
Amnesia通過遠端代碼執行對系統漏洞進行掃描、定位和攻擊,
儘管Amnesia僵屍網路尚未被用作發動大規模攻擊之用, 但從Mirai僵屍網路攻擊這一事件確實能看出遭受大規模IoT僵屍網路攻擊可能帶來的後果有多麼嚴重。 Palo Alto Networks建議全體客戶及時升級防護措施。 另外, 要阻截攻擊指示器列出的通向Amnesia C2伺服器的流量。