现今,Mirai已成为最流行的物联网僵尸程序,出现在多个大型攻击中,但它并不是唯一一种。安全公司已检测到许多针对物联网设备的其他恶意软件,这些软件同样危险,已被用于实际攻击,如Leet和Amnesia僵尸网络。物联网僵尸网络可能是威胁领域最令人恐惧的危险之一,而缺乏合理配置、有安全漏洞的物联网设备则最受黑客青睐。
2016年8月,安全研究团队MalwareMustDie分析了一种新型的ELF木马后门样本, 这种木马被称为ELF Linux/Mirai,专门针对物联网设备。
这篇博文介绍了近期发现的用于实际攻击的主要物联网僵尸网络,并分析了相关攻击场景。
Leet僵尸网络
去年圣诞节前,12月21日晨,来自Imperva公司的专家检测到了一次针对公司的大型攻击。这次大型DDoS攻击由Leet僵尸网络发起,峰值流量达到650 Gbps。该僵尸网络的目标是Imperva Incapsula网络中的几个任意广播IP地址。
专家在对攻击进行调查后发现,僵尸网络由数千台受控物联网设备构成。攻击并未针对公司的某个特定客户,很可能因为Incapsula防护代理隐藏了受害者的IP地址,使黑客无法解析。 ” Imperva公布的分析中说
“ 攻击为什么没有针对特定客户 , 这很难下结论。最可能的原因是攻击者无法解析实际受害者的 IP 地址,因为这些 地址 被 Incapsula 代理隐藏了,
Incapsula发现了两次明显的DDoS攻击,第一次持续了20分钟,峰值流量达到400 Gbps;第二次持续了大约17分钟,最高流量达650 Gbps。
“ 第一次 DDoS 攻击持续了大约 20 分钟 , 峰值流量达 400 Gbps 。这次攻击没有取得任何实际效果,于是,攻击者卷土重来,发动了第二次攻击。这次,僵尸网络开足马力,发起了 650 Gbps 的 DDoS 流量,每秒钟报文数( Mpps )达 1.5 亿。 ” 同一份分析中说。
两次攻击均无果,但是因为黑客使用了欺骗性IP地址,研究人员无法追踪到真实的攻击源。
分析了恶意流量报文内容后,发现攻击借由Leet僵尸网络发起,该恶意程序由报文内的“签名”而得名。Imperva分析道,
“ 我们首先注意到攻击者在一些正常大小的 SYN 报文中留下了各种 ‘ 签名 ’ 。这些报文的 TCP 头部选项中,所有的值被精心安排,拼成了 ‘1337’ 。顺便说明一下, 1337 是网络用语,指 ‘leet’ 或 ‘elite’ 。 ”
专家还注意到,特大SYN报文(799到936字节)内含看似随机的字符串,有些还包含IP地址列表片段。
“ 这意味着我们所 面对 的这款恶意软件是用于访问本地文件 ( 如日志和 iptable 列表 )的, 所生成的报文内容经由拼凑而成。 ”
物联网僵尸网络Amnesia的攻击目标为未打补丁的DVR
Amnesia僵尸网络利用了未修补的远程代码利用漏洞,这个漏洞一年多之前由安全研究员Rotem Kerner发现。Amnesia僵尸网络目标是嵌入式系统,尤其是中国的同为数码科技有限公司生产的DVR(数字视频录像机),目前,该公司名下有70多个品牌的产品销往世界各地。
2016年3月,Kerner将其发现的漏洞上报了DVR厂商,但是未得到任何回应,一年后,他决定公布漏洞细节。
根据Palo Alto Networks(PAN)研究人员的相关分析,Amnesia是Tsunami僵尸网络的变种,Tsunami作为一种下载程序/IRC僵尸程序后门,被网络犯罪分子用来发动DDoS攻击。
根据PAN的网络扫描结果,上述漏洞仍未修补,全球大约有22.7万DVR设备受此漏洞影响。
“ 根据我们的扫描数据 ( 如下图所示 ), 这个漏洞影响了全球约 22.7 万台设备 , 台湾、美国、以色列、土耳其和印度是重灾区 , ” PAN公布的分析中说。
Amnesia僵尸网络利用的是远程代码执行漏洞,攻击者可利用该漏洞完全控制设备。
使用Censys搜索引擎进行分析,获得了70多万条IP地址。
“ 此外 , 使用 ‘Cross Web Server’ 特征 , 我们发现互联网中有 22.7 万多台设备可能来自同为数码科技有限公司。我们还在 Shodan.io 和 Censys.io 上搜索了这个关键字,两个网站分别返回了约 5 万条和 70.5 万条 IP地址, ”PAN 公司表示。
1. |
台湾 |
47170 |
2. |
美国 |
44179 |
3. |
以色列 |
23355 |
4. |
土耳其 |
11780 |
5. |
印度 |
9796 |
6. |
马来西亚 |
9178 |
7. |
墨西哥 |
7868 |
8. |
意大利 |
7439 |
9. |
越南 |
6736 |
10. |
英国 |
4402 |
11. |
俄罗斯 |
3571 |
12. |
匈牙利 |
3529 |
13. |
法国 |
3165 |
14. |
保加利亚 |
3040 |
15. |
罗马尼亚 |
2783 |
16. |
哥伦比亚 |
2616 |
17. |
埃及 |
2541 |
18. |
加拿大 |
2491 |
19. |
伊朗 |
1965 |
20. |
阿根廷 |
1748 |
专家认为,由于采用逃避技术,Amnesia僵尸网络极为复杂。恶意软件研究人员认为Amnesia僵尸网络是第一款采用虚拟机逃避技术来逃避恶意软件分析沙箱的Linux物联网恶意软件。
“虚拟机逃避技术在微软Windows和谷歌Android恶意软件中更为常见。同样地,Amnesia尝试检测是否运行在基于VirtualBox、VMware和QEMU的虚拟机上。如果检测到这些环境,Amnesia会通过删除文件系统中的所有文件,从而清除虚拟化Linux系统。”
分析中称,“这不仅影响到Linux恶意软件分析沙箱,还会影响VPS或公共云上的一些基于QEMU的Linux服务器。”
PAN专家推测称,Amnesia僵尸网络有望成为威胁领域的主要僵尸网络之一,并且可用于大规模攻击。
Brickerbot永久性破坏物联网设备
数周前的3月20日,Radware研究人员发现了一种新的僵尸网络。这种僵尸网络和Mirai僵尸网络有诸多相似之处,被命名为Brickerbot。Mirai僵尸网络和Brickerbot的主要区别在于,后者的恶意软件可对配置不当的物联网设备造成永久性破坏。
Brickerbot对Radware公司为进行恶意软件分析而部署的蜜罐发起攻击,因此被发现。通过部署有针对性的蜜罐服务器发现检测到来自全球各地1895个IP的BrickerBot攻击尝试,而且还有333次通过Tor网络攻击的尝试被发现。
“ 四天内, Radware 的蜜罐记录了来自全球的 1895 次 PDoS 攻击。其唯一的目的是入侵物联网设备并破坏其内存。 ” Radware分析报告称, “ 两条路径( Internet/TOR , BrickerBot.1/BrickerBot.2 ),相差一个小时左右。 BrickerBot.2 执行 PDoS ,更彻底,位置隐藏在 Tor 出口节点中。 ”
Brickerbot僵尸网络通过Telnet暴力攻击物联网设备。Mirai僵尸网络还曾采用此技术。
Bricker很难分析,因为它并不下载二进制,这意味着Radware专家无法检索恶意软件暴力使用的完整凭据清单。恶意软件研究人员只能观察到第一次登陆的用户名/密码是root/vizxv。
“ Bricker 不下载二进制,因此 Radware 获取不到完整的暴力攻击凭证清单,只能记录到 第一次登陆的用户名 /密码是 root/vizxv 。 ” 咨询顾问补充说道。
专家解释说,恶意软件针对的是运行在BusyBox上、基于Linux的物联网设备。这些设备Telnet端口都是开放的,并且暴露在互联网上。
PDoS攻击源于有限数量的IP地址。被攻击设备都是端口为22和运行老版本Dropbear SSH服务的设备。大部分被僵尸网络攻击的设备被Shodan识别为Ubiquiti。
恶意代码首先获得对设备的访问,然后通过rm –rf /*命令擦除设备内存,并禁用TCP时间戳, 并将内核线程的最大数量限制为一个。
Brickerbot恶意软刷新所有iptables防火墙和NAT规则,并添加一条规则来删除所有传出的数据包。Brickerbot试图擦除受影响物联网设备上的所有代码,使其不可用。
关于如何防护物联网设备,Radware专家提出了以下建议:
- 修改设备的出厂默认凭据。
- 禁用Telnet访问设备。
- 网络行为分析可检测流量异常,结合自动签名生成进行防护。
- 使用用户/企业行为分析(UEBA)在早期发现细粒度的流量异常。
- 入侵防护系统应阻断Telnet默认凭据或重置Telnet连接。使用签名检测已提供的命令序列。
结论
不幸的是,物联网僵尸网络的数量将会不断增加。这些强大的基础设施非常灵活,不法分子可用之实现很多犯罪目的。在互联网上暴露的大多数物联网设备安全性不足,这是当今IT行业最大的问题之一。IT厂商必须确保其物联网设备的安全,请参考 物联网安全白皮书
参考
- http://resources.infosecinstitute.com/the-mirai-botnet-a-milestone-in-the-threat-landscape/
- http://securityaffairs.co/wordpress/57839/malware/brickerbot-botnet-iot.html
- http://securityaffairs.co/wordpress/57803/malware/iot-amnesia-botnet.html
- http://securityaffairs.co/wordpress/54825/uncategorized/leet-botnet.html
- https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html
- http://securityaffairs.co/wordpress/50929/malware/linux-mirai-elf.html
- http://securityaffairs.co/wordpress/52544/breaking-news/dyn-dns-service-ddos.html
- http://securityaffairs.co/wordpress/52558/iot/dyn-dns-service-ddos-2.html
- http://securityaffairs.co/wordpress/52821/hacking/mirai-botnet-2.html
- http://securityaffairs.co/wordpress/53054/malware/shadows-kill-liberia-outage.html
- http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html
- http://securityaffairs.co/wordpress/52313/cyber-crime/sierra-wireless-mirai.html
- http://securityaffairs.co/wordpress/51669/hacking/internet-takedown.html
