广告

中国两亿多台IoT设备小心!让美国“大断网”的Mirai换个马甲回来了

2017-10-23 阅读:
一年前的今天,智能摄像头中的漏洞致使美国发生“大断网”;一年之后的今天,物联网设备的安全性依然令人堪忧!

在一年前的今天(2016.10.21),美国发生了一起规模极大的互联网瘫痪事故,多个城市的主要网站被攻击,人们发现连经常登录的推特、亚马逊、Paypal 等在内的大量网站连续数小时无法正常访问。rrzednc

事后查明,一种名为“Mirai”的恶意程序,通过扫描智能摄像头,尝试默认通用密码(比如懒人经常设置的123456、admin……)进行登录操作,一旦成功即将这台物联网设备作为“肉鸡”纳入到僵尸网络里,进而操控其攻击其他网络设备,当控制的设备达到一定数量级后,进行 DDoS 攻击。rrzednc

换个马甲,我们依然认识你

不同于以往的是,在这起事件中,“肉鸡”不再是 PC 电脑,而是已经大规模普及的物联网设备---“智能摄像头”。而这之后,Mirai 不断在全世界留下新的“犯案”记录,连续发动了针对新加坡、利比里亚、德国等的DDoS攻击。rrzednc

对于这次网络大瘫痪, Mirai 的攻击源码被发布后可能造成的严重后果:rrzednc

这个病毒专门用于控制众多品牌的摄像头。在 Mirai 的攻击源码被发布到网络之后,各大安全厂商迅速查杀,但是这个病毒的代码也迅速被各路黑客改写,成为变种继续在网络中生存。

这像极了现实世界中我们和病毒的对抗。每当一种新药研制成功,就可以杀死大部分的病毒,但是总有以下部分存活下来,适应了新的药物,从而成为变种,更难被杀死。

就在最近,“Mirai”的新变种就被发现,只不过,这次的攻击载体由摄像头变为了电视机顶盒,而且攻击目标在中国,数量多达2亿多台。虽然入侵方式同样是破解设备弱口令,但采用加壳措施进行自我保护,并采用一定的算法隐藏C&C控制服务器地址,绑定端口1992,绿盟科技将其命名为“Rowdy”。rrzednc

040ednc20171023
▲Mirai 和其变种 Rowdy 的样本对比rrzednc

经过对比发现,Rowdy 其bot上线方式与 Mirai 相同,ddos攻击代码一致,代码结构基本无变化,基于这些特征已经可以确定,Rowdy 样本是Mirai物联网恶意软件的变种。

据绿盟科技安全顾问透露,Rowdy-Bot僵尸网络已经开始向外发起DDoS攻击,目前监控到的国内受控制僵尸主机已达2000多台,其中东南部沿海地区为重灾区。rrzednc

经过评估发现,Rowdy在短短数月时间已经形成了规模不小的Bot僵尸网络,感染的设备涉及国内5家厂商。据国家统计局2月份发布的《中华人民共和国2016年国民经济和社会发展统计公报》显示,该设备实际用户到达2.23亿户,如此庞大的网络,一旦被Rowdy快速渗透,带来的后果不堪设想。rrzednc

根据分析,Rowdy僵尸网络的C&C控制服务器,IP地址为185.47.62.133,地理位置位于荷兰。僵尸主机与C&C控制主机通讯端口为8716。据关联分析,C&C控制服务器与僵尸主机通讯协议为TCP协议,通讯包字节基本都在80~90字节之间。rrzednc

041ednc20171023rrzednc

Rowdy僵尸通过自动化扫描方式传播感染,构成整个僵尸网络。首先,会对目标设备进行扫描,利用内置用户名/口令字典,尝试登录Telnet服务。然后,再通过设备的busybox工具下载并执行恶意病毒程序。rrzednc

042ednc20171023rrzednc

目前来看,Rowdy样本支持多个平台,包括x86、ARM、MIPS。僵尸网络能发动多种 DDoS 攻击类型,包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。组成僵尸网络的设备均为上网出口设备,因此该僵尸网络具备发起大规模、大流量 DDoS 攻击的能力。rrzednc

为啥黑客频频盯上物联网设备,连洗碗机都不放过!

无论是去年的“Mirai”还是最近的“Rowdy”,越来越多的物联网设备成为了黑客攻击的目标。rrzednc

在今年初,外媒 TheRegister 就曾报道过德国的一个百年家电品牌 Miele 的一款洗碗机存在漏洞,该设备其实主要作为医疗设备使用,用于实验室和手术器械消毒。rrzednc

043ednc20171023rrzednc

很多人好奇,为何这样一款设备要连接网络?Miele 的产品页上有提到,这台设备连接局域网是为了生成文本报告。rrzednc

这台设备的 web 服务器漏洞编号为 CVE-2017-7240,此漏洞可导致未经授权的入侵者访问web服务器的任意目录,攻击者可以从中窃取敏感信息,甚至植入自己的恶意代码、让web服务器执行这些代码。rrzednc

美国去年在互联网“大瘫痪”后曾紧急出台过一个《保障物联网安全战略原则》,其中提出,物联网制造商必须在产品设计阶段构建安全,否则可能会被起诉!以此来强制厂商提高对安全问题的重视。rrzednc

那频频被黑客盯上的物联网攻击到底有何特殊之处呢?绿盟科技安全顾问这样解释:rrzednc

从技术角度来讲,真实的物联网设备都采用了真实的 IP,作为安全厂商来讲,我们很难把设备IP和真实的用户区分开,所以检测时会花费更多的时间。

与此同时,物联网设备基本上是长期在线的,它不像我们的PC还会有关机和开机的时候,所以随时都可以攻击,为黑客提供了便利。

还有就是捕获手段非常简单,可以在短时间内大量组织起来发动 DDoS 攻击的设备。只要设备搭载了相关的操作系统,并且能够联网,那么黑客就可以入侵操作系统,让这台设备去干些什么。

那为什么物联网设备的捕获手段会比较简单呢?rrzednc

绿盟科技安全顾问表示,在 IOT设备这些年的发展中,厂商更注重的是设备功能的完善和用户体验的提升,而对于安全没有足够的重视,使黑客能利用像缺省口令这样简单的漏洞进行攻击。rrzednc

应当如何防范?

虽然由于及时发现,Rowdy僵尸网络被有效遏制了,但类似的物联网僵尸网络一定会再次出现。物联网设备,包括摄像头、路由器、智能电视、机顶盒、智能家居和可穿戴设备,只要接入互联网,搭载了相关操作系统,就有可能成为攻击者的潜在目标。攻击者利用存在漏洞的物联网设备,尤其是缺省弱口令的设备,组成庞大的僵尸网络,为其发动大规模DDoS攻击做准备,威胁互联网安全。rrzednc

其实利用缺省口令进行攻击并不是一种高难度的攻击,绿盟科技安全顾问建议,rrzednc

对于厂商来说,需要在生产的过程当中,就对固件进行保护,以路由器的内置密码为例,厂商一定要注意不要使用类似123456这样的弱口令,而是要用数字、字母、特殊符号等更复杂的口令。而且密码不能以明文的形式,要做一些加密处理。发现了相关的漏洞,及时跟安全厂商联系,快速的更新,替换。

对于购买了 IOT设备的普通的用户,及时的去查看官网,更新固件。此外,需要遵守设备安装手册,按照要求修改默认密码。以防IOT设备变成网络僵尸。

044ednc20171023
▲针对DDoS攻击防护建议rrzednc

受Rowdy感染的僵尸网络具备发起多种复杂DDoS攻击的能力。当遭受此类攻击时,可以通过部署本地或者云端的抗拒绝服务系统进行流量清洗。rrzednc

(来源:雷锋网)rrzednc

20160630000123rrzednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告
    向右滑动:上一篇 向左滑动:下一篇 我知道了