Mirai物联网僵尸网络之后的三个新秀 Leet僵尸网络、Amnesia僵尸网络、Brickerbot僵尸网络-阿里云开发者社区

开发者社区> 安全> 正文

Mirai物联网僵尸网络之后的三个新秀 Leet僵尸网络、Amnesia僵尸网络、Brickerbot僵尸网络

简介:

现今,Mirai已成为最流行的物联网僵尸程序,出现在多个大型攻击中,但它并不是唯一一种。安全公司已检测到许多针对物联网设备的其他恶意软件,这些软件同样危险,已被用于实际攻击,如Leet和Amnesia僵尸网络。物联网僵尸网络可能是威胁领域最令人恐惧的危险之一,而缺乏合理配置、有安全漏洞的物联网设备则最受黑客青睐。

2016年8月,安全研究团队MalwareMustDie分析了一种新型的ELF木马后门样本, 这种木马被称为ELF Linux/Mirai,专门针对物联网设备。

这篇博文介绍了近期发现的用于实际攻击的主要物联网僵尸网络,并分析了相关攻击场景。

Leet僵尸网络

去年圣诞节前,12月21日晨,来自Imperva公司的专家检测到了一次针对公司的大型攻击。这次大型DDoS攻击由Leet僵尸网络发起,峰值流量达到650 Gbps。该僵尸网络的目标是Imperva Incapsula网络中的几个任意广播IP地址。

Leet%20botnet%20attack.png

专家在对攻击进行调查后发现,僵尸网络由数千台受控物联网设备构成。攻击并未针对公司的某个特定客户,很可能因为Incapsula防护代理隐藏了受害者的IP地址,使黑客无法解析。 ” Imperva公布的分析中说

“ 攻击为什么没有针对特定客户 , 这很难下结论。最可能的原因是攻击者无法解析实际受害者的 IP 地址,因为这些 地址 被 Incapsula 代理隐藏了,

Incapsula发现了两次明显的DDoS攻击,第一次持续了20分钟,峰值流量达到400 Gbps;第二次持续了大约17分钟,最高流量达650 Gbps。

“ 第一次 DDoS 攻击持续了大约 20 分钟 , 峰值流量达 400 Gbps 。这次攻击没有取得任何实际效果,于是,攻击者卷土重来,发动了第二次攻击。这次,僵尸网络开足马力,发起了 650 Gbps 的 DDoS 流量,每秒钟报文数( Mpps )达 1.5 亿。 ” 同一份分析中说。

两次攻击均无果,但是因为黑客使用了欺骗性IP地址,研究人员无法追踪到真实的攻击源。

分析了恶意流量报文内容后,发现攻击借由Leet僵尸网络发起,该恶意程序由报文内的“签名”而得名。Imperva分析道,

“ 我们首先注意到攻击者在一些正常大小的 SYN 报文中留下了各种 ‘ 签名 ’ 。这些报文的 TCP 头部选项中,所有的值被精心安排,拼成了 ‘1337’ 。顺便说明一下, 1337 是网络用语,指 ‘leet’ 或 ‘elite’ 。 

专家还注意到,特大SYN报文(799到936字节)内含看似随机的字符串,有些还包含IP地址列表片段。

“ 这意味着我们所 面对 的这款恶意软件是用于访问本地文件 ( 如日志和 iptable 列表 )的, 所生成的报文内容经由拼凑而成。 

物联网僵尸网络Amnesia的攻击目标为未打补丁的DVR

Amnesia僵尸网络利用了未修补的远程代码利用漏洞,这个漏洞一年多之前由安全研究员Rotem Kerner发现。Amnesia僵尸网络目标是嵌入式系统,尤其是中国的同为数码科技有限公司生产的DVR(数字视频录像机),目前,该公司名下有70多个品牌的产品销往世界各地。

2016年3月,Kerner将其发现的漏洞上报了DVR厂商,但是未得到任何回应,一年后,他决定公布漏洞细节。

根据Palo Alto Networks(PAN)研究人员的相关分析,Amnesia是Tsunami僵尸网络的变种,Tsunami作为一种下载程序/IRC僵尸程序后门,被网络犯罪分子用来发动DDoS攻击。

根据PAN的网络扫描结果,上述漏洞仍未修补,全球大约有22.7万DVR设备受此漏洞影响。

“ 根据我们的扫描数据 ( 如下图所示 ), 这个漏洞影响了全球约 22.7 万台设备 , 台湾、美国、以色列、土耳其和印度是重灾区 , ” PAN公布的分析中说。

Amnesia%20botnet.png

Amnesia僵尸网络利用的是远程代码执行漏洞,攻击者可利用该漏洞完全控制设备。

使用Censys搜索引擎进行分析,获得了70多万条IP地址。

“ 此外 , 使用 ‘Cross Web Server’ 特征 , 我们发现互联网中有 22.7 万多台设备可能来自同为数码科技有限公司。我们还在 Shodan.io 和 Censys.io 上搜索了这个关键字,两个网站分别返回了约 万条和 70.5 万条 IP地址, ”PAN 公司表示。

1.

台湾

47170

2.

美国

44179

3.

以色列

23355

4.

土耳其

11780

5.

印度

9796

6.

马来西亚

9178

7.

墨西哥

7868

8.

意大利

7439

9.

越南

6736

10.

英国

4402

11.

俄罗斯

3571

12.

匈牙利

3529

13.

法国

3165

14.

保加利亚

3040

15.

罗马尼亚

2783

16.

哥伦比亚

2616

17.

埃及

2541

18.

加拿大

2491

19.

伊朗

1965

20.

阿根廷

1748

专家认为,由于采用逃避技术,Amnesia僵尸网络极为复杂。恶意软件研究人员认为Amnesia僵尸网络是第一款采用虚拟机逃避技术来逃避恶意软件分析沙箱的Linux物联网恶意软件。

“虚拟机逃避技术在微软Windows和谷歌Android恶意软件中更为常见。同样地,Amnesia尝试检测是否运行在基于VirtualBox、VMware和QEMU的虚拟机上。如果检测到这些环境,Amnesia会通过删除文件系统中的所有文件,从而清除虚拟化Linux系统。”

分析中称,“这不仅影响到Linux恶意软件分析沙箱,还会影响VPS或公共云上的一些基于QEMU的Linux服务器。”

PAN专家推测称,Amnesia僵尸网络有望成为威胁领域的主要僵尸网络之一,并且可用于大规模攻击。

Brickerbot永久性破坏物联网设备

数周前的3月20日,Radware研究人员发现了一种新的僵尸网络。这种僵尸网络和Mirai僵尸网络有诸多相似之处,被命名为Brickerbot。Mirai僵尸网络和Brickerbot的主要区别在于,后者的恶意软件可对配置不当的物联网设备造成永久性破坏。

Brickerbot对Radware公司为进行恶意软件分析而部署的蜜罐发起攻击,因此被发现。通过部署有针对性的蜜罐服务器发现检测到来自全球各地1895个IP的BrickerBot攻击尝试,而且还有333次通过Tor网络攻击的尝试被发现。

Brickerbot%20botnet.png

“ 四天内, Radware 的蜜罐记录了来自全球的 1895 次 PDoS 攻击。其唯一的目的是入侵物联网设备并破坏其内存。 ” Radware分析报告称, “ 两条路径( Internet/TOR , BrickerBot.1/BrickerBot.2 ),相差一个小时左右。 BrickerBot.2 执行 PDoS ,更彻底,位置隐藏在 Tor 出口节点中。 

Brickerbot僵尸网络通过Telnet暴力攻击物联网设备。Mirai僵尸网络还曾采用此技术。

Bricker很难分析,因为它并不下载二进制,这意味着Radware专家无法检索恶意软件暴力使用的完整凭据清单。恶意软件研究人员只能观察到第一次登陆的用户名/密码是root/vizxv。

“ Bricker 不下载二进制,因此 Radware 获取不到完整的暴力攻击凭证清单,只能记录到 第一次登陆的用户名 /密码是 root/vizxv 。 ” 咨询顾问补充说道。

专家解释说,恶意软件针对的是运行在BusyBox上、基于Linux的物联网设备。这些设备Telnet端口都是开放的,并且暴露在互联网上。

PDoS攻击源于有限数量的IP地址。被攻击设备都是端口为22和运行老版本Dropbear SSH服务的设备。大部分被僵尸网络攻击的设备被Shodan识别为Ubiquiti。

恶意代码首先获得对设备的访问,然后通过rm –rf /*命令擦除设备内存,并禁用TCP时间戳, 并将内核线程的最大数量限制为一个。

Brickerbot%20source%20code.png

Brickerbot恶意软刷新所有iptables防火墙和NAT规则,并添加一条规则来删除所有传出的数据包。Brickerbot试图擦除受影响物联网设备上的所有代码,使其不可用。

关于如何防护物联网设备,Radware专家提出了以下建议:

  • 修改设备的出厂默认凭据。
  • 禁用Telnet访问设备。
  • 网络行为分析可检测流量异常,结合自动签名生成进行防护。
  • 使用用户/企业行为分析(UEBA)在早期发现细粒度的流量异常。
  • 入侵防护系统应阻断Telnet默认凭据或重置Telnet连接。使用签名检测已提供的命令序列。

结论

不幸的是,物联网僵尸网络的数量将会不断增加。这些强大的基础设施非常灵活,不法分子可用之实现很多犯罪目的。在互联网上暴露的大多数物联网设备安全性不足,这是当今IT行业最大的问题之一。IT厂商必须确保其物联网设备的安全,请参考 物联网安全白皮书

参考

  • http://resources.infosecinstitute.com/the-mirai-botnet-a-milestone-in-the-threat-landscape/
  • http://securityaffairs.co/wordpress/57839/malware/brickerbot-botnet-iot.html
  • http://securityaffairs.co/wordpress/57803/malware/iot-amnesia-botnet.html
  • http://securityaffairs.co/wordpress/54825/uncategorized/leet-botnet.html
  • https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html
  • http://securityaffairs.co/wordpress/50929/malware/linux-mirai-elf.html
  • http://securityaffairs.co/wordpress/52544/breaking-news/dyn-dns-service-ddos.html
  • http://securityaffairs.co/wordpress/52558/iot/dyn-dns-service-ddos-2.html
  • http://securityaffairs.co/wordpress/52821/hacking/mirai-botnet-2.html
  • http://securityaffairs.co/wordpress/53054/malware/shadows-kill-liberia-outage.html
  • http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html
  • http://securityaffairs.co/wordpress/52313/cyber-crime/sierra-wireless-mirai.html
  • http://securityaffairs.co/wordpress/51669/hacking/internet-takedown.html


原文发布时间:2017年4月13日 
本文由:infosec发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/three-new-iot-botnet-after-mirai
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章