http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷
勒索軟件不必多說,由于長期占據頭條位置,許多安全公司把2016年直接命名為“勒索軟件之年”。如果你還不清楚,趕緊在嘶吼網站學習下。
與強行要錢的勒索軟件相比,Mirai蠕蟲則顯得有些和風細雨,日常只是不停地尋找WiFi攝像頭,感染、感染、再感染。但它一旦爆發,后果極為驚人,像針對KrebsOnSecurity、OVH打出了創紀錄DDoS流量,Dyn被D導致數百個知名網站無法訪問,造成了美國過半地區類似“斷網”的效果。
Mirai開啟了一扇地獄之門,讓大家去認清IoT設備的薄弱安全現狀。它不是孤例,現在,新的惡鬼來了。
Mirai的新同伴
自2016年9月曝光以來,Mirai蠕蟲首度迎來新同伴。
根據360網絡安全研究院監測,從今年4月16日開始,有一個新的IoT僵尸網絡在HTTP 81端口進行大范圍傳播。
這個僵尸網絡利用一組公開不久的OEM攝像頭安全漏洞進行傳播,由于是OEM貼牌設備,許多品牌攝像頭也受影響,漏洞作者評估有超過1250個不同廠商、型號的攝像頭受影響,通過Shodan估算目前互聯網上有超過15萬設備易被攻擊。
http81僵尸網絡的擴張極為迅猛。經過前期初步試探,在4月16日-24日9天時間內,它開始全網瘋狂掃描尋找問題攝像頭,每日掃描至少150萬次,最多的一天用57400個IP掃描了將近270萬次。
其主要分布在國內,目前已經感染了超過5萬臺攝像頭,量級正在接近Mirai。
360網絡安全研究員李豐沛透露,在積累上量過程,http81僵尸網絡還嘗試向一個境外IP發起過DDoS攻擊,IP對應的網站是某個俄羅斯銀行。
4月24日,360發布博客披露了這一僵尸網絡,隨后不久攻擊者把它的主控域名解析到一個內網地址,暫時進行了下線。
從弱口令到遠程控制漏洞
盡管http81僵尸網絡暫時性下線了,但其所表現的特征需要特別警惕。
李豐沛說,http81僵尸網絡利用一組OEM攝像頭高危安全漏洞進行傳播,而這組漏洞從公開到被利用,時間不足一月。
這意味著什么呢?我們來看看過去的IoT僵尸網絡。
在Mirai之前,曾經有過一些小型的IoT僵尸網絡,比如Wifatch、Lizard Squad蠕蟲、智魁等,它們基本上都是利用路由器、攝像頭的硬編碼后臺弱口令來進行攻擊的。即使Mirai,早期版本也主要依靠弱口令,它內置了六十多組常見弱口令。
Mirai開源后,出現過一些使用路由器TR-069/TR-064漏洞進行攻擊的變種。TR-069/TR-064漏洞在2016年11月7日披露,大約20天后,有人利用漏洞制作新的Mirai變種,感染了德國電信90萬臺路由器,導致德國電信大范圍網絡故障,幾近斷網。5個月后,又有人利用漏洞控制了近十萬臺路由器,專門向WordPress網站發起撞庫攻擊。
相關跡象表明,黑產們正緊緊盯著IoT設備新曝光的安全漏洞,一有好使的立馬用起來,其效率之高,目前的廠商修復速度大概只有望塵莫及了。
沉默的廠商
http81僵尸網絡還有個有趣的插曲。嘶吼編輯在檢索資料的時候,了解到知道創宇今年3月分析過利用漏洞,當時創宇的人根據相關特征查看全網數據,發現許多OEM設備在16年沒有漏洞,17年卻有了漏洞。
他們由此推測,該漏洞出現時間大約是去年,后來舊攝像頭通過更新有漏洞固件的方式導致出現了漏洞,而那些新生產的有問題攝像頭則被銷售到世界各地。
一堆壞消息里,或許這算是個好消息,至少它證明OEM廠商是有更新能力的。到現在為止,我們仍不清楚OEM廠商是誰,也不清楚對方是否知曉漏洞信息,只能寄希望對方看到漏洞后會積極地修復。
在IoT設備安全形勢嚴峻的大環境下,怎么樣才能讓廠商做得更安全?我們可以在歷史中能找到一些借鑒。
“2000年左右的Windows,要比現在的IoT設備系統復雜很多,出漏洞的空間大很多,但Windows的安全狀況改變得很好。因為微軟有整套安全流程,它堅持了二十多年持續不斷地改進,一直和安全社區保持溝通。”李豐沛說。
就安全社區而言,我們沒有什么很好的辦法來推動原始廠商往前走。只能期待廠商意識和安全響應能力的增強。無論如何,通過具體的攻擊事件推動發展的代價是巨大的,對所有人都如此。
原文發布時間為:2017年5月10日 本文作者:longye 本文來自云棲社區合作伙伴嘶吼,了解相關信息可以關注嘶吼網站。 原文鏈接
總結
以上是生活随笔為你收集整理的http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 观点 | 容器内应该运行什么?
- 下一篇: FeignClient使用