美東部網站宕機后續(xù)：1100萬路由器和攝像頭仍在公網“裸奔”

本文作者：李勤

2016-10-24 23:41

導語：稱作Mirai 的物聯(lián)網僵尸網絡病毒一直在利用雄邁產品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動大規(guī)模分布式拒絕服務攻擊，其中包括上周五的攻擊。

10月22日凌晨，美國域名服務器管理服務供應商Dyn稱其公司遭遇了DDoS（分布式拒絕服務）攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網站無一幸免。

10月24日，安全博客 Security Affairs 上發(fā)布了一篇日志內容，宣稱 RSA 曾在10月初公布了一項新發(fā)現：黑客曾在黑市中宣傳由其控制的、由龐大數量的 IoT 設備組成的僵尸網絡，其大致售價根據所購買的設備數量相關聯(lián)，其中50000個售價4600美元，100000個售價7500美元。

10月24日，國內電子產品廠商雄邁表示在上周五美國發(fā)生的大規(guī)模網絡攻擊中，其產品無意中成為黑客“幫兇”；其產品中與默認密碼強度不高有關的安全缺陷，是引發(fā)上周五美國大規(guī)?；ヂ?lián)網攻擊的部分原因。

白帽匯的安全研究人員給雷鋒網提供的后續(xù)研究報告認為，這與安全研究人員的發(fā)現相吻合：被稱作Mirai 的物聯(lián)網僵尸網絡病毒一直在利用雄邁產品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動大規(guī)模分布式拒絕服務攻擊，其中包括上周五的攻擊。除此以外，物聯(lián)網僵尸網絡病毒“Mirai”還曾經制造過多起DDoS 攻擊事件，包括在上月參與發(fā)起了針對 KrebOnSecurity 安全站點的大規(guī)模分布式DDoS攻擊，流量達到1T；而 OVH 運營商也曾遭到同樣手段的攻擊。

以下內容均出自白帽匯的研究報告。

1.Mirai功能介紹

這是一款基于Linux的ELF類型木馬，主要針對IoT設備，其中包含但不限于網絡攝像頭，路由器等。它可以高效掃描物聯(lián)網系統(tǒng)設備，感染采用出廠密碼設置或弱密碼加密的脆弱物聯(lián)網設備。被病毒感染后，該設備成為僵尸網絡機器人并可在黑客命令下發(fā)動高強度僵尸網絡攻擊。

Mirai主要由loader、cnc控制器、bot服務端構成。loader主要用于創(chuàng)建服務端程序和狀態(tài)監(jiān)控；服務端程序包含了連接控制端、DDOS攻擊、下載并運行文件功能。并且，服務端實現了反調試，近程隱藏，殺死系統(tǒng)進程，并建立相應端口的功能。DDoS攻擊支持udp、vse（Valve source engine specific flood）、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等洪水攻擊方式。傳播方式主要依靠爆破SSH和telnet弱口令。其中，包含了60余組用戶名和密碼的字典，掃描端口主要為23和2323。