Mirai物联网僵尸网络之后的三个新秀 Leet僵尸网络、Amnesia僵尸网络、Brickerbot僵尸网络

简介:

现今,Mirai已成为最流行的物联网僵尸程序,出现在多个大型攻击中,但它并不是唯一一种。安全公司已检测到许多针对物联网设备的其他恶意软件,这些软件同样危险,已被用于实际攻击,如Leet和Amnesia僵尸网络。物联网僵尸网络可能是威胁领域最令人恐惧的危险之一,而缺乏合理配置、有安全漏洞的物联网设备则最受黑客青睐。

2016年8月,安全研究团队MalwareMustDie分析了一种新型的ELF木马后门样本, 这种木马被称为ELF Linux/Mirai,专门针对物联网设备。

这篇博文介绍了近期发现的用于实际攻击的主要物联网僵尸网络,并分析了相关攻击场景。

Leet僵尸网络

去年圣诞节前,12月21日晨,来自Imperva公司的专家检测到了一次针对公司的大型攻击。这次大型DDoS攻击由Leet僵尸网络发起,峰值流量达到650 Gbps。该僵尸网络的目标是Imperva Incapsula网络中的几个任意广播IP地址。

Leet%20botnet%20attack.png

专家在对攻击进行调查后发现,僵尸网络由数千台受控物联网设备构成。攻击并未针对公司的某个特定客户,很可能因为Incapsula防护代理隐藏了受害者的IP地址,使黑客无法解析。 ” Imperva公布的分析中说

“ 攻击为什么没有针对特定客户 , 这很难下结论。最可能的原因是攻击者无法解析实际受害者的 IP 地址,因为这些 地址 被 Incapsula 代理隐藏了,

Incapsula发现了两次明显的DDoS攻击,第一次持续了20分钟,峰值流量达到400 Gbps;第二次持续了大约17分钟,最高流量达650 Gbps。

“ 第一次 DDoS 攻击持续了大约 20 分钟 , 峰值流量达 400 Gbps 。这次攻击没有取得任何实际效果,于是,攻击者卷土重来,发动了第二次攻击。这次,僵尸网络开足马力,发起了 650 Gbps 的 DDoS 流量,每秒钟报文数( Mpps )达 1.5 亿。 ” 同一份分析中说。

两次攻击均无果,但是因为黑客使用了欺骗性IP地址,研究人员无法追踪到真实的攻击源。

分析了恶意流量报文内容后,发现攻击借由Leet僵尸网络发起,该恶意程序由报文内的“签名”而得名。Imperva分析道,

“ 我们首先注意到攻击者在一些正常大小的 SYN 报文中留下了各种 ‘ 签名 ’ 。这些报文的 TCP 头部选项中,所有的值被精心安排,拼成了 ‘1337’ 。顺便说明一下, 1337 是网络用语,指 ‘leet’ 或 ‘elite’ 。 

专家还注意到,特大SYN报文(799到936字节)内含看似随机的字符串,有些还包含IP地址列表片段。

“ 这意味着我们所 面对 的这款恶意软件是用于访问本地文件 ( 如日志和 iptable 列表 )的, 所生成的报文内容经由拼凑而成。 

物联网僵尸网络Amnesia的攻击目标为未打补丁的DVR

Amnesia僵尸网络利用了未修补的远程代码利用漏洞,这个漏洞一年多之前由安全研究员Rotem Kerner发现。Amnesia僵尸网络目标是嵌入式系统,尤其是中国的同为数码科技有限公司生产的DVR(数字视频录像机),目前,该公司名下有70多个品牌的产品销往世界各地。

2016年3月,Kerner将其发现的漏洞上报了DVR厂商,但是未得到任何回应,一年后,他决定公布漏洞细节。

根据Palo Alto Networks(PAN)研究人员的相关分析,Amnesia是Tsunami僵尸网络的变种,Tsunami作为一种下载程序/IRC僵尸程序后门,被网络犯罪分子用来发动DDoS攻击。

根据PAN的网络扫描结果,上述漏洞仍未修补,全球大约有22.7万DVR设备受此漏洞影响。

“ 根据我们的扫描数据 ( 如下图所示 ), 这个漏洞影响了全球约 22.7 万台设备 , 台湾、美国、以色列、土耳其和印度是重灾区 , ” PAN公布的分析中说。

Amnesia%20botnet.png

Amnesia僵尸网络利用的是远程代码执行漏洞,攻击者可利用该漏洞完全控制设备。

使用Censys搜索引擎进行分析,获得了70多万条IP地址。

“ 此外 , 使用 ‘Cross Web Server’ 特征 , 我们发现互联网中有 22.7 万多台设备可能来自同为数码科技有限公司。我们还在 Shodan.io 和 Censys.io 上搜索了这个关键字,两个网站分别返回了约 万条和 70.5 万条 IP地址, ”PAN 公司表示。

1.

台湾

47170

2.

美国

44179

3.

以色列

23355

4.

土耳其

11780

5.

印度

9796

6.

马来西亚

9178

7.

墨西哥

7868

8.

意大利

7439

9.

越南

6736

10.

英国

4402

11.

俄罗斯

3571

12.

匈牙利

3529

13.

法国

3165

14.

保加利亚

3040

15.

罗马尼亚

2783

16.

哥伦比亚

2616

17.

埃及

2541

18.

加拿大

2491

19.

伊朗

1965

20.

阿根廷

1748

专家认为,由于采用逃避技术,Amnesia僵尸网络极为复杂。恶意软件研究人员认为Amnesia僵尸网络是第一款采用虚拟机逃避技术来逃避恶意软件分析沙箱的Linux物联网恶意软件。

“虚拟机逃避技术在微软Windows和谷歌Android恶意软件中更为常见。同样地,Amnesia尝试检测是否运行在基于VirtualBox、VMware和QEMU的虚拟机上。如果检测到这些环境,Amnesia会通过删除文件系统中的所有文件,从而清除虚拟化Linux系统。”

分析中称,“这不仅影响到Linux恶意软件分析沙箱,还会影响VPS或公共云上的一些基于QEMU的Linux服务器。”

PAN专家推测称,Amnesia僵尸网络有望成为威胁领域的主要僵尸网络之一,并且可用于大规模攻击。

Brickerbot永久性破坏物联网设备

数周前的3月20日,Radware研究人员发现了一种新的僵尸网络。这种僵尸网络和Mirai僵尸网络有诸多相似之处,被命名为Brickerbot。Mirai僵尸网络和Brickerbot的主要区别在于,后者的恶意软件可对配置不当的物联网设备造成永久性破坏。

Brickerbot对Radware公司为进行恶意软件分析而部署的蜜罐发起攻击,因此被发现。通过部署有针对性的蜜罐服务器发现检测到来自全球各地1895个IP的BrickerBot攻击尝试,而且还有333次通过Tor网络攻击的尝试被发现。

Brickerbot%20botnet.png

“ 四天内, Radware 的蜜罐记录了来自全球的 1895 次 PDoS 攻击。其唯一的目的是入侵物联网设备并破坏其内存。 ” Radware分析报告称, “ 两条路径( Internet/TOR , BrickerBot.1/BrickerBot.2 ),相差一个小时左右。 BrickerBot.2 执行 PDoS ,更彻底,位置隐藏在 Tor 出口节点中。 

Brickerbot僵尸网络通过Telnet暴力攻击物联网设备。Mirai僵尸网络还曾采用此技术。

Bricker很难分析,因为它并不下载二进制,这意味着Radware专家无法检索恶意软件暴力使用的完整凭据清单。恶意软件研究人员只能观察到第一次登陆的用户名/密码是root/vizxv。

“ Bricker 不下载二进制,因此 Radware 获取不到完整的暴力攻击凭证清单,只能记录到 第一次登陆的用户名 /密码是 root/vizxv 。 ” 咨询顾问补充说道。

专家解释说,恶意软件针对的是运行在BusyBox上、基于Linux的物联网设备。这些设备Telnet端口都是开放的,并且暴露在互联网上。

PDoS攻击源于有限数量的IP地址。被攻击设备都是端口为22和运行老版本Dropbear SSH服务的设备。大部分被僵尸网络攻击的设备被Shodan识别为Ubiquiti。

恶意代码首先获得对设备的访问,然后通过rm –rf /*命令擦除设备内存,并禁用TCP时间戳, 并将内核线程的最大数量限制为一个。

Brickerbot%20source%20code.png

Brickerbot恶意软刷新所有iptables防火墙和NAT规则,并添加一条规则来删除所有传出的数据包。Brickerbot试图擦除受影响物联网设备上的所有代码,使其不可用。

关于如何防护物联网设备,Radware专家提出了以下建议:

  • 修改设备的出厂默认凭据。
  • 禁用Telnet访问设备。
  • 网络行为分析可检测流量异常,结合自动签名生成进行防护。
  • 使用用户/企业行为分析(UEBA)在早期发现细粒度的流量异常。
  • 入侵防护系统应阻断Telnet默认凭据或重置Telnet连接。使用签名检测已提供的命令序列。

结论

不幸的是,物联网僵尸网络的数量将会不断增加。这些强大的基础设施非常灵活,不法分子可用之实现很多犯罪目的。在互联网上暴露的大多数物联网设备安全性不足,这是当今IT行业最大的问题之一。IT厂商必须确保其物联网设备的安全,请参考 物联网安全白皮书

参考

  • http://resources.infosecinstitute.com/the-mirai-botnet-a-milestone-in-the-threat-landscape/
  • http://securityaffairs.co/wordpress/57839/malware/brickerbot-botnet-iot.html
  • http://securityaffairs.co/wordpress/57803/malware/iot-amnesia-botnet.html
  • http://securityaffairs.co/wordpress/54825/uncategorized/leet-botnet.html
  • https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html
  • http://securityaffairs.co/wordpress/50929/malware/linux-mirai-elf.html
  • http://securityaffairs.co/wordpress/52544/breaking-news/dyn-dns-service-ddos.html
  • http://securityaffairs.co/wordpress/52558/iot/dyn-dns-service-ddos-2.html
  • http://securityaffairs.co/wordpress/52821/hacking/mirai-botnet-2.html
  • http://securityaffairs.co/wordpress/53054/malware/shadows-kill-liberia-outage.html
  • http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html
  • http://securityaffairs.co/wordpress/52313/cyber-crime/sierra-wireless-mirai.html
  • http://securityaffairs.co/wordpress/51669/hacking/internet-takedown.html


原文发布时间: 2017年4月13日  
本文由:infosec发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/three-new-iot-botnet-after-mirai
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
1月前
|
传感器 数据采集 算法
无线传感器网络(WSN)在物联网中的作用
【6月更文挑战第7天】物联网中的无线传感器网络(WSN)正加速发展,它由微型传感器节点组成,用于环境数据感知和传输。WSN助力实时监测(如农业、工业生产)、资源管理(能源和物流)、智能交通等领域,提供关键数据支持。Python代码示例展示了数据采集和传输过程。尽管面临能量限制和网络挑战,WSN在物联网中的角色不可或缺,将持续推动社会智能化和可持续发展。
70 2
|
2月前
|
传感器 监控 安全
无线传感器网络与物联网的融合:未来智慧生活的关键
在信息技术不断发展的时代,无线传感器网络和物联网技术正成为推动智能化进程的重要支撑。本文将介绍无线传感器网络和物联网的基本概念,并探讨了它们融合应用在各个领域的前景和意义。从智能家居、智慧城市到工业制造,无线传感器网络与物联网的结合正引领着我们走向更智慧、便捷的未来。
406 0
|
18天前
|
机器学习/深度学习 物联网 区块链
未来触手可及:探索区块链、物联网和虚拟现实的革新之路探索深度学习中的卷积神经网络(CNN)
随着科技的飞速发展,新兴技术如区块链、物联网(IoT)和虚拟现实(VR)正不断重塑我们的工作和生活方式。本文将深入探讨这些技术的最新发展趋势,分析它们如何在不同行业实现应用革新,并预测其未来的融合潜力。我们将从技术的基本原理出发,通过案例研究,揭示它们在现实世界中的创新应用场景,并讨论面临的挑战与机遇。 在机器学习领域,卷积神经网络(CNN)已成为图像识别和处理的基石。本文深入探讨了CNN的核心原理、架构以及在多个领域的应用实例,旨在为读者提供从理论到实践的全面理解。
|
1月前
|
传感器 监控 物联网
5G 网络对物联网发展的推动作用
【6月更文挑战第7天】5G网络以其高速率、低延迟、大容量特性驱动物联网(IoT)革新。高速率保障数据流畅传输,低延迟确保实时响应,大容量支持海量设备连接。示例代码展示5G环境下的数据传输。尽管网络覆盖和安全问题待解决,5G仍加速物联网在各行业应用,引领深刻变革,预示着物联网更广阔的发展前景。
61 1
|
2月前
|
传感器 数据可视化 JavaScript
物联网架构:感知层、网络层和应用层
【5月更文挑战第30天】物联网(IoT)由感知层、网络层和应用层构成。感知层利用传感器(如DHT11)收集环境数据;网络层通过ESP8266等设备将数据传输至云端;应用层提供用户服务,如Node-RED实现数据可视化。示例代码展示了Arduino读取温湿度,ESP8266连接Wi-Fi及Node-RED数据可视化流程。物联网架构为数据处理与服务提供全面支持,预示其在各领域广阔的应用前景。
57 2
|
1月前
|
安全 自动驾驶 物联网
5G网络在物联网时代的角色与挑战
5G网络在物联网时代的角色与挑战
33 0
|
2月前
|
传感器 安全 物联网
《计算机网络简易速速上手小册》第9章:物联网(IoT)与网络技术(2024 最新版)
《计算机网络简易速速上手小册》第9章:物联网(IoT)与网络技术(2024 最新版)
54 2
|
2月前
|
传感器 存储 监控
编写Arduino代码:构建物联网设备,实现上网行为管理软件对网络的实时监控
使用Arduino和ESP8266/ESP32等Wi-Fi模块,结合传感器监控网络活动,本文展示了如何编写代码实现实时监控并自动将数据提交至网站。示例代码展示如何连接Wi-Fi并检测网络状态,当连接成功时,通过HTTP POST请求将“Network activity detected.”发送到服务器。通过调整POST请求的目标URL和数据,可将监控数据上传至所需网站进行处理和存储。
122 0
|
2月前
|
数据采集 存储 传感器
物联网的感知层、网络层与应用层分享
物联网的感知层、网络层与应用层分享
122 1
|
2月前
|
存储 网络协议 物联网
《物联网技术》课程笔记——第四章 物联网通信技术之计算机网络
《物联网技术》课程笔记——第四章 物联网通信技术之计算机网络

相关产品

  • 物联网平台