美東部網(wǎng)站宕機后續(xù)：1100萬路由器和攝像頭仍在公網(wǎng)“裸奔”

本文作者：李勤

2016-10-24 23:41

導(dǎo)語：稱作Mirai 的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊，其中包括上周五的攻擊。

10月22日凌晨，美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn稱其公司遭遇了DDoS（分布式拒絕服務(wù)）攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網(wǎng)站無一幸免。

10月24日，安全博客 Security Affairs 上發(fā)布了一篇日志內(nèi)容，宣稱 RSA 曾在10月初公布了一項新發(fā)現(xiàn)：黑客曾在黑市中宣傳由其控制的、由龐大數(shù)量的 IoT 設(shè)備組成的僵尸網(wǎng)絡(luò)，其大致售價根據(jù)所購買的設(shè)備數(shù)量相關(guān)聯(lián)，其中50000個售價4600美元，100000個售價7500美元。

10月24日，國內(nèi)電子產(chǎn)品廠商雄邁表示在上周五美國發(fā)生的大規(guī)模網(wǎng)絡(luò)攻擊中，其產(chǎn)品無意中成為黑客“幫兇”；其產(chǎn)品中與默認密碼強度不高有關(guān)的安全缺陷，是引發(fā)上周五美國大規(guī)?；ヂ?lián)網(wǎng)攻擊的部分原因。

白帽匯的安全研究人員給雷鋒網(wǎng)提供的后續(xù)研究報告認為，這與安全研究人員的發(fā)現(xiàn)相吻合：被稱作Mirai 的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊，其中包括上周五的攻擊。除此以外，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒“Mirai”還曾經(jīng)制造過多起DDoS 攻擊事件，包括在上月參與發(fā)起了針對 KrebOnSecurity 安全站點的大規(guī)模分布式DDoS攻擊，流量達到1T；而 OVH 運營商也曾遭到同樣手段的攻擊。

以下內(nèi)容均出自白帽匯的研究報告。

1.Mirai功能介紹

這是一款基于Linux的ELF類型木馬，主要針對IoT設(shè)備，其中包含但不限于網(wǎng)絡(luò)攝像頭，路由器等。它可以高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼設(shè)置或弱密碼加密的脆弱物聯(lián)網(wǎng)設(shè)備。被病毒感染后，該設(shè)備成為僵尸網(wǎng)絡(luò)機器人并可在黑客命令下發(fā)動高強度僵尸網(wǎng)絡(luò)攻擊。

Mirai主要由loader、cnc控制器、bot服務(wù)端構(gòu)成。loader主要用于創(chuàng)建服務(wù)端程序和狀態(tài)監(jiān)控；服務(wù)端程序包含了連接控制端、DDOS攻擊、下載并運行文件功能。并且，服務(wù)端實現(xiàn)了反調(diào)試，近程隱藏，殺死系統(tǒng)進程，并建立相應(yīng)端口的功能。DDoS攻擊支持udp、vse（Valve source engine specific flood）、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等洪水攻擊方式。傳播方式主要依靠爆破SSH和telnet弱口令。其中，包含了60余組用戶名和密碼的字典，掃描端口主要為23和2323。

2.潛在影響范圍

此次受影響的范圍涉及超過60余萬臺設(shè)備。

美東部網(wǎng)站宕機后續(xù)：1100萬路由器和攝像頭仍在公網(wǎng)“裸奔”

（此圖引用自360網(wǎng)絡(luò)研究院，如有侵權(quán)請聯(lián)系刪除）

目前，根據(jù)白帽匯安全實驗室和廣大白帽子貢獻的fofa檢索規(guī)則，統(tǒng)計出共有1100萬攝像頭和路由器暴漏在公網(wǎng)（當(dāng)然這還不包括全部）。在此次受影響的設(shè)備中，國內(nèi)的雄邁和大華，中興存在很多。在top10的統(tǒng)計中就有雄邁和中興。

美東部網(wǎng)站宕機后續(xù)：1100萬路由器和攝像頭仍在公網(wǎng)“裸奔”