“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

在一年前的今天(2016.10.21),美国发生了一起规模极大的互联网瘫痪事故,多个城市的主要网站被攻击,人们发现连经常登录的推特、亚马逊Paypal 等在内的大量网站连续数小时无法正常访问。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

事后查明,一种名为“Mirai”的恶意程序,通过扫描智能摄像头,尝试默认通用密码(比如懒人经常设置的123456、admin……)进行登录操作,一旦成功即将这台物联网设备作为“肉鸡”纳入到僵尸网络里,进而操控其攻击其他网络设备,当控制的设备达到一定数量级后,进行 DDoS 攻击。

换个马甲,我们依然认识你

不同于以往的是,在这起事件中,“肉鸡”不再是 PC 电脑,而是已经大规模普及的物联网设备---“智能摄像头”。而这之后,Mirai 不断在全世界留下新的“犯案”记录,连续发动了针对新加坡、利比里亚、德国等的DDoS攻击。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

对于这次网络大瘫痪,雷锋网 (公众号:雷锋网) 也曾撰文分析 《僵尸网络新世界:摄像头的背叛和战争》 ,其中就曾提到 Mirai 的攻击源码被发布后可能造成的严重后果。

这个病毒专门用于控制众多品牌的摄像头。在 Mirai 的攻击源码被发布到网络之后, 各大安全厂商迅速查杀,但是这个病毒的代码也迅速被各路黑客改写,成为变种继续在网络中生存。


这像极了现实世界中我们和病毒的对抗。每当一种新药研制成功,就可以杀死大部分的病毒,但是总有以下部分存活下来,适应了新的药物,从而 成为变种,更难被杀死。

就在最近,“Mirai”的新变种就被发现,只不过,这次的攻击载体 由摄像头变为了电视机顶盒,而且攻击目标在中国,数量多达2亿多台。 虽然入侵方式同样是破解设备弱口令,但采用加壳措施进行自我保护,并采用一定的算法隐藏C&C控制服务器地址,绑定端口1992,绿盟科技将其命名为“Rowdy”。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

▲Mirai 和其变种 Rowdy 的样本对比

经过对比发现,Rowdy 其bot上线方式与 Mirai 相同,ddos攻击代码一致,代码结构基本无变化,基于这些特征已经可以确定,Rowdy 样本是Mirai物联网恶意软件的变种。

据绿盟科技安全顾问透露,Rowdy-Bot僵尸网络已经开始向外发起DDoS攻击,目前 监控到的国内受控制僵尸主机已达2000多台,其中东南部沿海地区为重灾区

经过评估发现,Rowdy在短短数月时间已经形成了规模不小的Bot僵尸网络,感染的设备涉及国内5家厂商。据国家统计局2月份发布的《中华人民共和国2016年国民经济和社会发展统计公报》显示, 该设备实际用户到达2.23亿户 ,如此庞大的网络,一旦被Rowdy快速渗透,带来的后果不堪设想。

根据分析,Rowdy僵尸网络的C&C控制服务器,IP地址为185.47.62.133,地理位置位于荷兰。僵尸主机与C&C控制主机通讯端口为8716。据关联分析,C&C控制服务器与僵尸主机通讯协议为TCP协议,通讯包字节基本都在80~90字节之间。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

Rowdy僵尸通过自动化扫描方式传播感染,构成整个僵尸网络。 首先,会对目标设备进行扫描 ,利用内置用户名/口令字典,尝试登录Telnet服务。然后,再 通过设备的busybox工具下载并执行恶意病毒程序。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

目前来看,Rowdy样本支持多个平台,包括x86、ARM、MIPS。僵尸网络能发动多种 DDoS 攻击类型,包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。组成僵尸网络的设备均为上网出口设备,因此该僵尸网络具备发起大规模、大流量 DDoS 攻击的能力。

为啥黑客频频盯上物联网设备,连洗碗机都不放过!

无论是去年的“Mirai”还是最近的“Rowdy”,越来越多的物联网设备成为了黑客攻击的目标。

在今年初,外媒 TheRegister 就曾报道过德国的一个百年家电品牌 Miele 的一款洗碗机存在漏洞,该设备其实主要作为医疗设备使用,用于实验室和手术器械消毒。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

很多人好奇,为何这样一款设备要连接网络?Miele 的产品页上有提到, 这台设备连接局域网是为了生成文本报告。

这台设备的 web 服务器漏洞编号为 CVE-2017-7240,此漏洞可导致未经授权的入侵者访问web服务器的任意目录,攻击者可以从中窃取敏感信息,甚至植入自己的恶意代码、让web服务器执行这些代码。

美国去年在互联网“大瘫痪”后曾紧急出台过一个《保障物联网安全战略原则》,其中提出, 物联网制造商必须在产品设计阶段构建安全,否则可能会被起诉! 以此来强制厂商提高对安全问题的重视。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

那频频被黑客盯上的物联网攻击到底有何特殊之处呢?绿盟科技安全顾问向雷锋网编辑这样解释:

从技术角度来讲,真实的物联网设备都采用了真实的 IP,作为安全厂商来讲, 我们很难把设备IP和真实的用户区分开,所以检测时会花费更多的时间。


与此同时,物联网设备基本上是长期在线的,它不像我们的PC还会有关机和开机的时候,所以 随时都可以攻击 ,为黑客提供了便利。


还有就是捕获手段非常简单,可以在短时间内大量组织起来发动 DDoS 攻击的设备。 只要设备搭载了相关的操作系统,并且能够联网, 那么黑客就可以入侵操作系统,让这台设备去干些什么。

那为什么物联网设备的捕获手段会比较简单呢?

绿盟科技安全顾问告诉雷锋网编辑,在 IOT设备这些年的发展中 ,厂商更注重的是设备功能的完善和用户体验的提升,而对于安全没有足够的重视,使黑客能利用像缺省口令这样简单的漏洞进行攻击。

应当如何防范?

虽然由于及时发现,Rowdy僵尸网络被有效遏制了,但类似的物联网僵尸网络一定会再次出现。物联网设备, 包括摄像头、路由器、智能电视、机顶盒、智能家居和可穿戴设备, 只要接入互联网,搭载了相关操作系统,就有可能成为攻击者的潜在目标。 攻击者利用存在漏洞的物联网设备,尤其是缺省弱口令的设备,组成庞大的僵尸网络,为其发动大规模DDoS攻击做准备,威胁互联网安全。

其实利用缺省口令进行攻击并不是一种高难度的攻击,绿盟科技安全顾问建议,

对于厂商来说,需要 在生产的过程当中,就对固件进行保护 ,以路由器的内置密码为例,厂商一定要注意不要使用类似123456这样的弱口令,而是要用数字、字母、特殊符号等更复杂的口令。而且 密码不能以明文 的形式,要做一些加密处理。发现了相关的漏洞,及时跟安全厂商联系,快速的更新,替换。


对于购买了 IOT设备的普通的用户,及时的去查看官网,更新固件。此外,需要遵守设备安装手册,按照要求修改默认密码。以防IOT设备变成网络僵尸。

“红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备

▲针对DDoS攻击防护建议

受Rowdy感染的僵尸网络具备发起多种复杂DDoS攻击的能力。当遭受此类攻击时,可以通过部署本地或者云端的抗拒绝服务系统进行流量清洗。

随意打赏

红遍全球
提交建议
微信扫一扫,分享给好友吧。