赛门铁克发现Hajime蠕虫软件与Mirai争夺物联 控制权

近期，一场争夺物联 设备控制权的“战争”正在激烈进行中，尽管参与者众多，但只有2大家族“脱颖而出”：Mirai的剩余僵尸 络，以及名为“Hajime”的新型蠕虫家族。

去年10月，安全研究人员首次发现Hajime蠕虫。与Mirai(Linux.Gafgyt)相似，该蠕虫同样利用未采取保护措施的设备（远程登录端口处于打开状态并使用默认密码）进行传播。事实上，Hajime所使用的用户名及密码组合与Mirai完全相同，且仅比Mirai多两组。

与Mirai在命令和控制(C&C)服务器使用硬编码地址不同，Hajime建立在一个点对点 络之上。该 络中不存在C&C服务器地址，而是通过控制器，将命令模块推至点对点 络，然后将消息传播至所有点对点中，这导致此类 络的设计更加坚固，将其摧毁的难度也随之增加。

与Mirai相比，Hajime的行动更为隐秘，技术也更为先进。一旦感染设备，该蠕虫便会采取多个步骤，掩盖其运行的进程，并将相关文件隐藏于文件系统之中。蠕虫制造者可随时在 络中的任意受感染设备打开Shell脚本。由于该蠕虫使用了模块化代码，因此设计者可随时添加新的功能。从Hajime的代码可明显看出，设计者对该蠕虫病毒进行深入的开发与设计。

在过去几个月中，Hajime的传播速度迅速。赛门铁克通过对全球范围内的感染设备进行跟踪，发现受感染的主要国家为巴西和伊朗。尽管现在难以预计该点对点 络的规模，但赛门铁克保守估计，全球受到感染的设备数量已达到数万台，中国也是受到感染的市场之一。

十大主要感染Hajime蠕虫的国家和地区

背后的原因

赛门铁克发现，Hajime与其他蠕虫病毒相比，明显缺少了部分功能 ——目前，Hajime只有传播模块，不含有任何分布式拒绝服务(DDoS)功能与攻击代码。但该蠕虫会从自身控制器中获取一份声明，并每隔10分钟推送展示在设备终端上。消息内容为：

值得提出的是，Hajime蠕虫确实能够改善所感染设备的安全性。该蠕虫可阻挡外界对端口23、7547、5555和5358的访问，物联 设备正是依赖这些端口为其提供托管服务。Mirai 便是利用上述部分端口作为目标，感染设备。

根据位置分布显示所发现的Hajime感染量

白色蠕虫

这并非首次出现所谓正义者试图保护脆弱的物联 设备的事件。2014至2015年，赛门铁克曾发现恶意软件Linux.Wifatch。该软件由“白色团队(The White Team)”所编写，与Hajime的目的相似，试图为物联 设备提供安全保护。此外，Brickerbot也曾以类似方式，通过删除关键系统文件或破坏系统，从而使物联 设备处于离线状态，为设备提供保护。

但通常来说，由于白色蠕虫的生命周期较短，因此防护效果只是暂时性。在受到蠕虫感染的一般性物联 系统中，为改善安全性所做出的改变只出现在RAM中，且并不持久。

一旦设备重启，所采用的仍是默认密码，同时由于远程登录处于开启状态，设备便会再次处于无保护状态。对相关固件进行升级才能够持续保护设备。但由于不同设备的升级过程各有不同，有时用户需要对设备进行物理访问才能对其加以升级，因此，大规模的固件升级十分难以实现。因此，嵌入式设备便陷入了电影《土拨鼠之日》中时间无限循坏的情节 —— 某天，设备也许处于Mirai 僵尸 络中，而在重启后，则可能感染Hajime。这样日复一日，总会有更多物联 恶意软件/蠕虫，不断寻找使用硬代码密码的设备，并试图进行感染。这个循环将在设备每次重启后继续，直到设备固件升级或安全性增加。

安全研究人员成为蠕虫的“质量管理者”

防御措施

赛门铁克建议物联 设备用户采取以下措施，以抵御针对物联 设备的恶意软件威胁：

赛门铁克安全防护