某个感染数百万物联网设备的大型僵尸网络正在成型
山外的鸭子哥 近期安全公司已经监测到某个正在形成的大规模僵尸网络,该僵尸网络主要依靠感染IoT物联网设备组成肉鸡。
分析表明新僵尸网络使用的蠕虫病毒与去年九月出现的 Mirai 类似,该蠕虫使用的部分代码与Mirai完全重合。
但是这个新的蠕虫病毒不但具有更加复杂的运行逻辑,还可利用IoT类的设备已被发现的漏洞进行传播和感染。
对攻击者来说如果要建立僵尸网络那么必须感染和控制足够多的设备, 显然各个进行针对性的攻击费时费力。
但自从Mirai问世后似乎已经打开了潘多拉魔盒,越来越多基于Mirai 的蠕虫病毒已具有更强的自动感染能力。
在这个新的僵尸网络中蠕虫在感染某个物联网设备后, 会继续以该设备作为据点继续感染其网络周边的设备。
此后新被感染的物联网设备呈现爆炸式增长并迅速扩充僵尸网络的规模,目前似乎已经感染上百万台IoT设备。
2017年9月问世的Mirai只是利用设备的默认密码进行登录,尽管造成严重影响但越来越多的默认密码被修改。
新的蠕虫则是开始分析设备是否存在已知的安全漏洞, 如果存在漏洞那么将会再利用安全漏洞登录到设备中。
因此大量网络摄像头以及路由器等长期没有更新修复漏洞, 这些设备很多很多已经被悄悄地的感染蠕虫病毒。
值得注意的是目前攻击者似乎还未利用这些摄像鸡和路由鸡, 或许在等待继续感染以便发动规模更大的攻击。
该僵尸网络最简单也是最直接的用途是发动 DDoS 攻击,但被感染的这些肉鸡显然不会只拿来发动流量攻击。
例如攻击者可以探测被感染的设备是否是路由器或者位于企业网络中, 如果是则可以监视或发动中间人攻击。
安全防护建议:
定期修改物联网设备的管理账号和密码几乎是必须的, 同时如果发现新固件也要及时更新封堵已知安全漏洞。
对于企业级用户而言还是有必要抽空好好设置防火墙, 将那些可能存在恶意的流量阻挡在防火墙外确保安全。
而对于路由器或者是企业内部的NAS或其他设备,如果不使用的话务必关闭掉SSH以及Telnet的22和23端口。
在Mirai攻击的先例里除大量设备未修改默认密码外,还有很多设备开放了 SSH 和 Telnet 结果被轻松感染到。
所以即使需要使用 SSH和Telnet 也必须在使用完毕后立即关闭,这类端口始终开放本身就是个非常大的威胁。
CVE-2017-8225 漏洞简介:
本次新蠕虫利用的漏洞实际是已经被研究人员发现的漏洞, 但遗憾的是大量设备并未获得更新或者没有更新。
该漏洞实质上属于设备OEM制造商在开发过程中的问题,某个关键的系统文件代码存在问题且权限配置错误。
攻击者可以在URL地址中配置空用户直接绕过登录环节, 甚至还可以再配置文件中直接查看用户的账号密码。
该漏洞的详细内容及PoC:https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
