在一年前的今天（2016.10.21），美國發(fā)生了一起規(guī)模極大的互聯(lián)網(wǎng)癱瘓事故，多個城市的主要網(wǎng)站被攻擊，人們發(fā)現(xiàn)連經(jīng)常登錄的推特、亞馬遜、Paypal 等在內(nèi)的大量網(wǎng)站連續(xù)數(shù)小時無法正常訪問。

事后查明，一種名為“Mirai”的惡意程序，通過掃描智能攝像頭，嘗試默認通用密碼（比如懶人經(jīng)常設(shè)置的123456、admin……）進行登錄操作，一旦成功即將這臺物聯(lián)網(wǎng)設(shè)備作為“肉雞”納入到僵尸網(wǎng)絡(luò)里，進而操控其攻擊其他網(wǎng)絡(luò)設(shè)備，當控制的設(shè)備達到一定數(shù)量級后，進行 DDoS 攻擊。

換個馬甲，我們依然認識你

不同于以往的是，在這起事件中，“肉雞”不再是 PC 電腦，而是已經(jīng)大規(guī)模普及的物聯(lián)網(wǎng)設(shè)備---“智能攝像頭”。而這之后，Mirai 不斷在全世界留下新的“犯案”記錄，連續(xù)發(fā)動了針對新加坡、利比里亞、德國等的DDoS攻擊。

對于這次網(wǎng)絡(luò)大癱瘓，雷鋒網(wǎng)也曾撰文分析《僵尸網(wǎng)絡(luò)新世界：攝像頭的背叛和戰(zhàn)爭》，其中就曾提到 Mirai 的攻擊源碼被發(fā)布后可能造成的嚴重后果。

這個病毒專門用于控制眾多品牌的攝像頭。在 Mirai 的攻擊源碼被發(fā)布到網(wǎng)絡(luò)之后，各大安全廠商迅速查殺，但是這個病毒的代碼也迅速被各路黑客改寫，成為變種繼續(xù)在網(wǎng)絡(luò)中生存。

這像極了現(xiàn)實世界中我們和病毒的對抗。每當一種新藥研制成功，就可以殺死大部分的病毒，但是總有以下部分存活下來，適應(yīng)了新的藥物，從而成為變種，更難被殺死。

就在最近，“Mirai”的新變種就被發(fā)現(xiàn)，只不過，這次的攻擊載體由攝像頭變?yōu)榱穗娨暀C頂盒，而且攻擊目標在中國，數(shù)量多達2億多臺。雖然入侵方式同樣是破解設(shè)備弱口令，但采用加殼措施進行自我保護，并采用一定的算法隱藏C&C控制服務(wù)器地址，綁定端口1992，綠盟科技將其命名為“Rowdy”。

▲Mirai 和其變種 Rowdy 的樣本對比

經(jīng)過對比發(fā)現(xiàn)，Rowdy 其bot上線方式與 Mirai 相同，ddos攻擊代碼一致，代碼結(jié)構(gòu)基本無變化，基于這些特征已經(jīng)可以確定，Rowdy 樣本是Mirai物聯(lián)網(wǎng)惡意軟件的變種。

據(jù)綠盟科技安全顧問透露，Rowdy-Bot僵尸網(wǎng)絡(luò)已經(jīng)開始向外發(fā)起DDoS攻擊，目前監(jiān)控到的國內(nèi)受控制僵尸主機已達2000多臺，其中東南部沿海地區(qū)為重災(zāi)區(qū)。

經(jīng)過評估發(fā)現(xiàn)，Rowdy在短短數(shù)月時間已經(jīng)形成了規(guī)模不小的Bot僵尸網(wǎng)絡(luò)，感染的設(shè)備涉及國內(nèi)5家廠商。據(jù)國家統(tǒng)計局2月份發(fā)布的《中華人民共和國2016年國民經(jīng)濟和社會發(fā)展統(tǒng)計公報》顯示，該設(shè)備實際用戶到達2.23億戶，如此龐大的網(wǎng)絡(luò)，一旦被Rowdy快速滲透，帶來的后果不堪設(shè)想。

根據(jù)分析，Rowdy僵尸網(wǎng)絡(luò)的C&C控制服務(wù)器，IP地址為185.47.62.133，地理位置位于荷蘭。僵尸主機與C&C控制主機通訊端口為8716。據(jù)關(guān)聯(lián)分析，C&C控制服務(wù)器與僵尸主機通訊協(xié)議為TCP協(xié)議，通訊包字節(jié)基本都在80~90字節(jié)之間。

Rowdy僵尸通過自動化掃描方式傳播感染，構(gòu)成整個僵尸網(wǎng)絡(luò)。首先，會對目標設(shè)備進行掃描，利用內(nèi)置用戶名/口令字典，嘗試登錄Telnet服務(wù)。然后，再通過設(shè)備的busybox工具下載并執(zhí)行惡意病毒程序。

目前來看，Rowdy樣本支持多個平臺，包括x86、ARM、MIPS。僵尸網(wǎng)絡(luò)能發(fā)動多種 DDoS 攻擊類型，包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。組成僵尸網(wǎng)絡(luò)的設(shè)備均為上網(wǎng)出口設(shè)備，因此該僵尸網(wǎng)絡(luò)具備發(fā)起大規(guī)模、大流量 DDoS 攻擊的能力。

為啥黑客頻頻盯上物聯(lián)網(wǎng)設(shè)備，連洗碗機都不放過！

無論是去年的“Mirai”還是最近的“Rowdy”，越來越多的物聯(lián)網(wǎng)設(shè)備成為了黑客攻擊的目標。

在今年初，外媒 TheRegister 就曾報道過德國的一個百年家電品牌 Miele 的一款洗碗機存在漏洞，該設(shè)備其實主要作為醫(yī)療設(shè)備使用，用于實驗室和手術(shù)器械消毒。

很多人好奇，為何這樣一款設(shè)備要連接網(wǎng)絡(luò)？Miele 的產(chǎn)品頁上有提到，這臺設(shè)備連接局域網(wǎng)是為了生成文本報告。

這臺設(shè)備的 web 服務(wù)器漏洞編號為 CVE-2017-7240，此漏洞可導(dǎo)致未經(jīng)授權(quán)的入侵者訪問web服務(wù)器的任意目錄，攻擊者可以從中竊取敏感信息，甚至植入自己的惡意代碼、讓web服務(wù)器執(zhí)行這些代碼。

美國去年在互聯(lián)網(wǎng)“大癱瘓”后曾緊急出臺過一個《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》，其中提出，物聯(lián)網(wǎng)制造商必須在產(chǎn)品設(shè)計階段構(gòu)建安全，否則可能會被起訴！以此來強制廠商提高對安全問題的重視。

那頻頻被黑客盯上的物聯(lián)網(wǎng)攻擊到底有何特殊之處呢？綠盟科技安全顧問向雷鋒網(wǎng)編輯這樣解釋：

從技術(shù)角度來講，真實的物聯(lián)網(wǎng)設(shè)備都采用了真實的 IP，作為安全廠商來講，我們很難把設(shè)備IP和真實的用戶區(qū)分開，所以檢測時會花費更多的時間。

與此同時，物聯(lián)網(wǎng)設(shè)備基本上是長期在線的，它不像我們的PC還會有關(guān)機和開機的時候，所以隨時都可以攻擊，為黑客提供了便利。

還有就是捕獲手段非常簡單，可以在短時間內(nèi)大量組織起來發(fā)動 DDoS 攻擊的設(shè)備。只要設(shè)備搭載了相關(guān)的操作系統(tǒng)，并且能夠聯(lián)網(wǎng)，那么黑客就可以入侵操作系統(tǒng)，讓這臺設(shè)備去干些什么。

那為什么物聯(lián)網(wǎng)設(shè)備的捕獲手段會比較簡單呢？

綠盟科技安全顧問告訴雷鋒網(wǎng)編輯，在 IOT設(shè)備這些年的發(fā)展中，廠商更注重的是設(shè)備功能的完善和用戶體驗的提升，而對于安全沒有足夠的重視，使黑客能利用像缺省口令這樣簡單的漏洞進行攻擊。

應(yīng)當如何防范？

雖然由于及時發(fā)現(xiàn)，Rowdy僵尸網(wǎng)絡(luò)被有效遏制了，但類似的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)一定會再次出現(xiàn)。物聯(lián)網(wǎng)設(shè)備，包括攝像頭、路由器、智能電視、機頂盒、智能家居和可穿戴設(shè)備，只要接入互聯(lián)網(wǎng)，搭載了相關(guān)操作系統(tǒng)，就有可能成為攻擊者的潛在目標。攻擊者利用存在漏洞的物聯(lián)網(wǎng)設(shè)備，尤其是缺省弱口令的設(shè)備，組成龐大的僵尸網(wǎng)絡(luò)，為其發(fā)動大規(guī)模DDoS攻擊做準備，威脅互聯(lián)網(wǎng)安全。

其實利用缺省口令進行攻擊并不是一種高難度的攻擊，綠盟科技安全顧問建議，

對于廠商來說，需要在生產(chǎn)的過程當中，就對固件進行保護，以路由器的內(nèi)置密碼為例，廠商一定要注意不要使用類似123456這樣的弱口令，而是要用數(shù)字、字母、特殊符號等更復(fù)雜的口令。而且密碼不能以明文的形式，要做一些加密處理。發(fā)現(xiàn)了相關(guān)的漏洞，及時跟安全廠商聯(lián)系，快速的更新，替換。

對于購買了 IOT設(shè)備的普通的用戶，及時的去查看官網(wǎng)，更新固件。此外，需要遵守設(shè)備安裝手冊，按照要求修改默認密碼。以防IOT設(shè)備變成網(wǎng)絡(luò)僵尸。

▲針對DDoS攻擊防護建議

受Rowdy感染的僵尸網(wǎng)絡(luò)具備發(fā)起多種復(fù)雜DDoS攻擊的能力。當遭受此類攻擊時，可以通過部署本地或者云端的抗拒絕服務(wù)系統(tǒng)進行流量清洗。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。