Broadside 威脅分析：針對海事物流的複合式 Mirai 變種

Cydome網路安全團隊的最新研究發現了一種名為「Broadside」的新型Mirai殭屍網路變種的活躍攻擊活動。該活動的目標是海運物流產業，利用了航運公司船舶上使用的TBK DVR（數位錄影機）設備中的漏洞（CVE-2024-3721）。與之前的 Mirai 變種不同，Broadside 採用定制的 C2 協議、獨特的「Magic Header」簽名以及先進的「Judge, Jury, and Executioner」模組，以確保其獨佔性。

這次攻擊活動標誌著 IoT 殭屍網路威脅的進化。傳統 Mirai 變種主要專注於利用預設或弱密碼對設備進行感染，並執行大規模的分散式拒絕服務 (DDoS) 攻擊。然而，Broadside 顯示出更高的攻擊成熟度，不僅將攻擊目標精確鎖定在具有戰略價值的海事物流領域，更在技術實現上採取了多項隱蔽和持久化措施。

威脅行為者的雙重目標與高級技術特徵

至關重要的是，Cydome 指出，威脅不限於拒絕服務攻擊；分析證實，Broadside 會主動嘗試竊取系統憑證文件。這表明其次要目標是提升權限和橫向移動，從而將受感染的設備從簡單的殭屍網路轉變為戰略立足點。

將攻擊目標從單純的 DDoS 轉向憑證竊取與橫向移動，揭示了威脅行為者更深層次的意圖。透過在船舶網路中獲取合法憑證，攻擊者可以從作為簡單 IoT 設備的 DVR，移動到更關鍵的營運技術（OT）或船上 IT 系統，從而執行間諜活動、破壞航行控制，或作為勒索軟體攻擊的初始存取點。

這次攻擊具備多種攻擊能力，包括利用基本有效載荷多態性進行高速率 UDP 泛洪攻擊、透過基於 Netlink 的進程監控實現隱蔽持久化，以及動態終止和將競爭進程列入黑名單。該攻擊還能夠在運行時存取文件，表明攻擊者能夠列舉本機帳戶並驗證權限。

Broadside 的關鍵技術細節：

1. 獨佔性與競爭排除：先進的「Judge, Jury, and Executioner」模組確保 Broadside 在成功感染設備後，能識別、終止並封鎖系統中可能存在的其他競爭性惡意軟體或 Mirai 變種，從而確保對受感染設備的獨佔控制權。

2. 隱蔽持久化：透過基於 Linux 系統內核提供的 Netlink 協議進行進程監控，這種方式比傳統的用戶空間進程監控更為隱蔽，有助於其在受感染系統上長期存留。

3. 定制 C2 協議：目前該攻擊活動仍在進行中，已確認攻擊者使用自訂協定透過 TCP 埠 1026 進行命令與控制通信，並透過 TCP 埠 6969 進行備用通信。使用自定義的命令與控制 (C2) 協議，使得傳統的基於簽名或常見協議模式的網路安全設備難以有效識別和阻止其通信流量。

緩解與防禦策略：保護海事 IoT 系統

面對 Broadside 這種高級複合式威脅，海事物流產業必須採取多層次的網路韌性策略，涵蓋設備、網路和人員三個維度。

建議的緩解措施包括驗證系統是否已更新並打好補丁，以及審查 DVR 系統的使用情況，確保其不會帶來不必要的風險。此外，為了增強防護能力，使用網路偵測與回應（NDR）或擴展偵測與回應（XDR）系統以及防火牆和端點偵測與回應（EDR）解決方案也至關重要。

具體建議如下：

1. 優先修補與資產管理

• 立即修補：驗證所有 TBK DVR 設備是否已針對 CVE-2024-3721 等已知漏洞進行更新和修補。實施主動漏洞掃描並保持修補程式更新，以防止未來遭受攻擊。

• 資產審查：審查 DVR 系統等 IoT 設備在船上網路中的部署位置和使用情況，確保這些設備不會帶來超出其營運價值的網路風險。

2. 網路與架構隔離

• 網路分段：遵循網路分段最佳實踐，將關鍵運行系統（如導航、推進系統）與更廣泛的網路，特別是與可能接入網際網路的非關鍵 IoT 設備（如 DVRs）進行物理或邏輯隔離。這可以有效限制 Broadside 試圖進行的橫向移動。

3. 強化監控與偵測能力

• 部署 XDR/NDR：使用網路偵測與回應（NDR）或擴展偵測與回應（XDR）系統，這些系統能夠基於行為分析而非僅僅簽名來識別 Broadside 的定制 C2 協議或其 LotL 策略活動。同時，結合防火牆和端點偵測與回應（EDR）解決方案，形成對整個攻擊鏈的全面可視化。

4. 身份與憑證安全

• 嚴格憑證管理：最後，要強制執行嚴格的密碼和憑證安全規範，包括多因素身份驗證 (MFA)，以防止未經授權的存取。鑑於 Broadside 鎖定竊取憑證，強大的 MFA 和最小權限原則是阻止其橫向移動的最後防線。

Broadside 突顯了海事工業網路在物聯網時代所面臨的特殊挑戰。由於船隻處於遠程和低帶寬環境，修補和監控難度更高，這使得複合式 IoT 殭屍網路成為對其營運連續性與實體安全的一大威脅。