IOT設(shè)備的集體“叛變”，或許會(huì)置人于尷尬處境。比如，電影《終結(jié)者:黑暗命運(yùn)》里就描述了這樣的場(chǎng)景：

一個(gè)名為軍團(tuán)的人工智能防御系統(tǒng)被制造出來(lái)，它擁有極強(qiáng)的學(xué)習(xí)能力，并且控制著全球70%以上的核武和人形兵器。

很快，它通過(guò)自我進(jìn)化得出一個(gè)結(jié)論——消滅人類才是終止戰(zhàn)爭(zhēng)的唯一辦法。于是，這些究極IOT產(chǎn)品徹底發(fā)狂，末日之戰(zhàn)拉開(kāi)序幕。

▲《終結(jié)者：黑暗命運(yùn)》中REV-9機(jī)器人正入侵軍事網(wǎng)絡(luò)

盡管不知道未來(lái)是否會(huì)有軍團(tuán)這樣的東西存在，但現(xiàn)在已經(jīng)有不少類似的僵尸網(wǎng)絡(luò)，它們會(huì)進(jìn)化、會(huì)想方設(shè)法操控每一臺(tái)主機(jī)，打造自己的“反叛軍團(tuán)”。

10月31日，研究人員發(fā)布報(bào)告稱，已經(jīng)檢測(cè)到一種最新的Gafgyt僵尸網(wǎng)絡(luò)變體。該變體針對(duì)的是Zyxel、華為和Realtek在內(nèi)的32000個(gè)小型辦公室和家庭無(wú)線路由器中的缺陷，可以降低此類產(chǎn)品網(wǎng)絡(luò)連接通暢性，并大幅削弱登錄服務(wù)時(shí)的安全性。

Gafgyt僵尸網(wǎng)絡(luò)“進(jìn)化史”

Gafgyt于2014年首次被發(fā)現(xiàn)。從那時(shí)起，它就以大規(guī)模的分布式拒絕服務(wù)攻擊而聞名，它的許多變體已經(jīng)開(kāi)始針對(duì)跨行業(yè)企業(yè)的一系列產(chǎn)品。

從2016年開(kāi)始，網(wǎng)絡(luò)安全公司Zingbox的研究人員就注意到，無(wú)線路由器是所有組織中最常見(jiàn)的IoT設(shè)備之一，并且是IoT僵尸網(wǎng)絡(luò)的主要目標(biāo)。

這期間，Gafgyt僵尸網(wǎng)絡(luò)已經(jīng)完成了多輪“進(jìn)化”：

2014年8月，索尼PSN遭受來(lái)自Gafgyt家族的DDoS攻擊，以至完全癱瘓，黑客組織LizardSquad聲稱對(duì)此次事件負(fù)責(zé)。

同年12月，LizardSquad再次利用該家族對(duì)微軟Xbox Live發(fā)動(dòng)DDOS攻擊，致使數(shù)百萬(wàn)游戲玩家無(wú)法連接到游戲服務(wù)器。

2015年1月，Gafgyt家族的源代碼被公開(kāi)，其源碼僅由一個(gè).c文件構(gòu)成，共計(jì)1600+行代碼（含telnet掃描模塊及弱口令字典）。

此后，各黑產(chǎn)從業(yè)者開(kāi)始以該家族為基礎(chǔ)開(kāi)發(fā)大量變種（如Bashlite、Qbot、Tsunami等），使原本只屬于LizardSquad的攻擊痕跡得到隱藏。

僵尸網(wǎng)絡(luò)攻擊時(shí)，可能會(huì)降低網(wǎng)絡(luò)和IP地址的可信度。僵尸網(wǎng)絡(luò)利用漏洞而不是嘗試通過(guò)不安全的服務(wù)登錄來(lái)訪問(wèn)連接的設(shè)備。因此，即使企業(yè)管理員禁用了不安全的服務(wù)并使用了強(qiáng)大的登錄憑據(jù)，僵尸網(wǎng)絡(luò)也可以更輕松地在IoT設(shè)備中傳播。

進(jìn)擊的Gafgyt家族新變體

最新檢測(cè)到的Gafgyt變體是JenX僵尸網(wǎng)絡(luò)的競(jìng)爭(zhēng)對(duì)手。JenX利用遠(yuǎn)程代碼執(zhí)行漏洞來(lái)訪問(wèn)和招募僵尸網(wǎng)絡(luò)來(lái)攻擊游戲服務(wù)器（尤其是那些運(yùn)行Valve Source引擎的服務(wù)器）并發(fā)起拒絕服務(wù)（DDoS）攻擊。

Gafgyt使用三個(gè)“掃描程序”來(lái)嘗試?yán)蒙鲜雎酚善髦械囊阎h(yuǎn)程代碼執(zhí)行攻擊。這些掃描程序替代了其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所采用的典型“字典式”攻擊，這些攻擊通常旨在通過(guò)不安全的服務(wù)來(lái)破壞連接的設(shè)備。

該漏洞被設(shè)計(jì)為用作二進(jìn)制刪除程序，根據(jù)要感染的設(shè)備類型從惡意服務(wù)器中提取相應(yīng)的二進(jìn)制文件。Zingbox研究人員在一篇博客文章中寫到，新的Gafgyt變體可根據(jù)從口令和控制服務(wù)器收到的命令，同時(shí)執(zhí)行不同類型的DDoS攻擊。

這種新的Gafgyt變體針對(duì)三種無(wú)線路由器中的漏洞，其中兩種與JenX相同——兩者共享CVE-2017-17215（在華為HG532中）和CVE-2014-8361（在Realtek的RTL81XX芯片組中），CVE-2017-18368（在Zyxel P660HN-T1A中）則是Gafgyt的新增功能。

Zingbox威脅情報(bào)副總監(jiān)Jen Miller-Osborn稱，Gafgyt是根據(jù)JenX僵尸網(wǎng)絡(luò)代碼開(kāi)發(fā)的，這也突出顯示黑客在該范圍內(nèi)構(gòu)建僵尸網(wǎng)絡(luò)的興趣。

“Gafgyt的這種演變表明，有一群人正在努力更新這些僵尸網(wǎng)絡(luò)，他們會(huì)將最新的漏洞同步到僵尸網(wǎng)絡(luò)之中，并以此強(qiáng)大其陣容，”他說(shuō)到。

游戲服務(wù)器躺槍

最新的Gafgyt變體可以執(zhí)行一種名為Vaf的有效載荷DDoS攻擊。這可以用于攻擊運(yùn)行Valve Source Engine的游戲服務(wù)器，使得游戲進(jìn)入宕機(jī)狀態(tài)。

Valve Source Engine是運(yùn)行《半條命》《軍團(tuán)要塞2》等游戲的引擎，這些游戲的受眾玩家已達(dá)到數(shù)百萬(wàn)人，一旦服務(wù)器宕機(jī)，游戲公司將面臨大范圍的用戶投訴。

▲游戲《半條命2》

當(dāng)然，最新的Gafgyt變體并非只和Valve Source Engine的游戲服務(wù)器過(guò)不去。通過(guò)其他的DDoS攻擊方法，黑客還可以將目標(biāo)鎖定到諸如托管《Fortnite》之類流行游戲的其他服務(wù)器上。

Zingbox研究人員米勒-奧斯本（Miller-Osborn）稱，利用Gafgyt僵尸網(wǎng)絡(luò)，黑客可以輕易阻斷游戲服務(wù)器的正常運(yùn)行，但這并不能讓其獲得巨大的收入。因此，會(huì)做這件事的人，有可能僅是為了追求干壞事的快感而已。

“盡管游戲服務(wù)器已成為受害對(duì)象，但針對(duì)這些攻擊的物聯(lián)網(wǎng)設(shè)備的種類卻在增加。從單純攻擊路由器到影響中小企業(yè)甚至某個(gè)家庭的游戲玩家，這也是此次Gafgyt變體的可怕之處，”她補(bǔ)充到。

參考來(lái)源：darkreading

更多精彩內(nèi)容請(qǐng)關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全欄目或雷鋒網(wǎng)旗下微信公眾號(hào)宅客頻道。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。