BrickerBot

通過Telnet訪問設備，默認用戶名/密碼：root/vizxv

Radware進一步詳細說明了該惡意程序成功訪問設備之后的一系列操作，獲取權限之后：

• PDoS會立即執(zhí)行一系列損壞存儲的Linux命令

• 再者是破壞設備性能、網絡連接和擦除設備上的所有文件命令

根據Radware的研究人員的說法，其從蜜罐中捕獲到的BrickerBot***目標是:Linux/BusyBox IOT設備，這些設備的打開了Telnet端口并且被暴露在了公網上面,這和去年10月的Mirai是很相似的。

原始文章

要點歸納

• 與Mirai相似

• PDoS/Phlashing：永久拒絕服務，會損壞固件。解決辦法只有替換或者重裝固件。

• 四天內，Radware的蜜罐記錄了來自全球1,895次的PDoS***

• 兩條路徑(Internet/TOR，BrickerBot.1/BrickerBot.2)，相差一個小時左右。BrickerBot.2執(zhí)行PDoS

• 采用暴力破解方式登陸Telnet。沒有樣本，無法獲取完整字典。只記錄下了第一個嘗試用戶名/密碼：root/vizxv

• BrickerBot.1執(zhí)行破壞命令：損壞存儲，破壞網絡連接、設備性能和擦除設備上的所有文件
  

• 針對的特殊設備/dev/mtd和/dev/mmc

  • /dev/mtd：Memory Technology Device - a special device type to match flash characteristics

  • /dev/mmc：MultiMediaCard - a special device type that matches memory card standard, a solid-state storage medium

• 重配內核參數：TCP的時間戳，內核的最大線程數

• 針對網絡上打開Telnet端口的基于Linux/BusyBox的物聯(lián)網設備

• 端口22和運行老版本DropbearSSH服務的設備，并且這些設備被Shodan識別為Ubiquiti

• 針對BrickerBot.2，同一時間記錄到了333次命令不同的PDoS。無法定位***源，目前還在繼續(xù)。第一次登陸命令：root/root，root/vizxv，后序命令如下：
  

• BrickerBot.2比BrickerBot.1的命令更徹底，目標更廣泛，并且不依賴busybox
  

  威脅 最后的命令與以前描述的PDoS***相同，并嘗試刪除默認網關，通過rm -rf / *擦除設備，并禁用TCP時間戳，并將內核線程的最大數量限制為一個。 這次，與存儲損壞命令類似，添加了額外的命令來刷新所有iptables防火墻和NAT規(guī)則，并添加一條規(guī)則來刪除所有傳出的數據包。

• BrickerBot.1已經停止，BrickerBot.2還在繼續(xù)