1
本文作者: 李勤 | 2016-10-24 23:41 |
10月22日凌晨,美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn稱其公司遭遇了DDoS(分布式拒絕服務(wù))攻擊,包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網(wǎng)站無一幸免。
10月24日,安全博客 Security Affairs 上發(fā)布了一篇日志內(nèi)容,宣稱 RSA 曾在10月初公布了一項新發(fā)現(xiàn):黑客曾在黑市中宣傳由其控制的、由龐大數(shù)量的 IoT 設(shè)備組成的僵尸網(wǎng)絡(luò),其大致售價根據(jù)所購買的設(shè)備數(shù)量相關(guān)聯(lián),其中50000個售價4600美元,100000個售價7500美元。
10月24日,國內(nèi)電子產(chǎn)品廠商雄邁表示在上周五美國發(fā)生的大規(guī)模網(wǎng)絡(luò)攻擊中,其產(chǎn)品無意中成為黑客“幫兇”;其產(chǎn)品中與默認密碼強度不高有關(guān)的安全缺陷,是引發(fā)上周五美國大規(guī)?;ヂ?lián)網(wǎng)攻擊的部分原因。
白帽匯的安全研究人員給雷鋒網(wǎng)提供的后續(xù)研究報告認為,這與安全研究人員的發(fā)現(xiàn)相吻合:被稱作Mirai 的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷,在其中注入惡意代碼,并利用它們發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊,其中包括上周五的攻擊。除此以外,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒“Mirai”還曾經(jīng)制造過多起DDoS 攻擊事件,包括在上月參與發(fā)起了針對 KrebOnSecurity 安全站點的大規(guī)模分布式DDoS攻擊,流量達到1T;而 OVH 運營商也曾遭到同樣手段的攻擊。
以下內(nèi)容均出自白帽匯的研究報告。
這是一款基于Linux的ELF類型木馬,主要針對IoT設(shè)備,其中包含但不限于網(wǎng)絡(luò)攝像頭,路由器等。它可以高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備,感染采用出廠密碼設(shè)置或弱密碼加密的脆弱物聯(lián)網(wǎng)設(shè)備。被病毒感染后,該設(shè)備成為僵尸網(wǎng)絡(luò)機器人并可在黑客命令下發(fā)動高強度僵尸網(wǎng)絡(luò)攻擊。
Mirai主要由loader、cnc控制器、bot服務(wù)端構(gòu)成。loader主要用于創(chuàng)建服務(wù)端程序和狀態(tài)監(jiān)控;服務(wù)端程序包含了連接控制端、DDOS攻擊、下載并運行文件功能。并且,服務(wù)端實現(xiàn)了反調(diào)試,近程隱藏,殺死系統(tǒng)進程,并建立相應(yīng)端口的功能。DDoS攻擊支持udp、vse(Valve source engine specific flood)、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等洪水攻擊方式。傳播方式主要依靠爆破SSH和telnet弱口令。其中,包含了60余組用戶名和密碼的字典,掃描端口主要為23和2323。
此次受影響的范圍涉及超過60余萬臺設(shè)備。
(此圖引用自360網(wǎng)絡(luò)研究院,如有侵權(quán)請聯(lián)系刪除)
目前,根據(jù)白帽匯安全實驗室和廣大白帽子貢獻的fofa檢索規(guī)則,統(tǒng)計出共有1100萬攝像頭和路由器暴漏在公網(wǎng)(當(dāng)然這還不包括全部)。在此次受影響的設(shè)備中,國內(nèi)的雄邁和大華,中興存在很多。在top10的統(tǒng)計中就有雄邁和中興。
前十設(shè)備排名(紅色為此次受影響設(shè)備)
排名前五的網(wǎng)站地理位置分布(TOP 5)
HuaweiHomeGateway_Global
Plesk
??低暎╓W)
mikrotik
雄邁
1、若果開啟了telnet服務(wù),請關(guān)閉Telnet服務(wù).
2、如果沒有使用TCP/48101端口,請禁用。這樣可以免受進一步的損害。
3、修改初始口令以及弱口令,加強密碼安全。
4.Mirai清除
進入系統(tǒng)后如發(fā)現(xiàn)帶有如下字符串的進程請結(jié)束并刪除掉:
./{長字母字符串} alphabet
/dev/.{something}/dvrHelper
參考來源
http://blog.nsfocus.net/mirai-source-analysis-report/
http://www.toutiao.com/a6344836010480746753
http://bobao.#/news/detail/3677.html
http://securityaffairs.co/wordpress/52657/iot/lot-botnet-sale.html
https://www.easyaq.com/newsdetail/id/359897463.shtml
http://data.netlab.360.com/mirai-scanner
https://github.com/jgamblin/Mirai-Source-Code?http://data.netlab.360.com/feeds/mirai-scanner/scanner.list
白帽匯對雷鋒網(wǎng)表示,后續(xù)會持續(xù)跟蹤此次事件。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。