http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷-阿里云开发者社区

开发者社区> 玄学酱> 正文

http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷

简介: 本文讲的是http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷,过去一年里,大半个安全社区都在为两件事情忙碌,勒索软件和Mirai蠕虫。
+关注继续查看
本文讲的是http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷过去一年里,大半个安全社区都在为两件事情忙碌,勒索软件和Mirai蠕虫。

勒索软件不必多说,由于长期占据头条位置,许多安全公司把2016年直接命名为“勒索软件之年”。如果你还不清楚,赶紧在嘶吼网站学习下。

与强行要钱的勒索软件相比,Mirai蠕虫则显得有些和风细雨,日常只是不停地寻找WiFi摄像头,感染、感染、再感染。但它一旦爆发,后果极为惊人,像针对KrebsOnSecurity、OVH打出了创纪录DDoS流量,Dyn被D导致数百个知名网站无法访问,造成了美国过半地区类似“断网”的效果。

Mirai开启了一扇地狱之门,让大家去认清IoT设备的薄弱安全现状。它不是孤例,现在,新的恶鬼来了。

Mirai的新同伴

http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷

自2016年9月曝光以来,Mirai蠕虫首度迎来新同伴。

根据360网络安全研究院监测,从今年4月16日开始,有一个新的IoT僵尸网络在HTTP 81端口进行大范围传播。

这个僵尸网络利用一组公开不久的OEM摄像头安全漏洞进行传播,由于是OEM贴牌设备,许多品牌摄像头也受影响,漏洞作者评估有超过1250个不同厂商、型号的摄像头受影响,通过Shodan估算目前互联网上有超过15万设备易被攻击。

http81僵尸网络的扩张极为迅猛。经过前期初步试探,在4月16日-24日9天时间内,它开始全网疯狂扫描寻找问题摄像头,每日扫描至少150万次,最多的一天用57400个IP扫描了将近270万次。

http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷

其主要分布在国内,目前已经感染了超过5万台摄像头,量级正在接近Mirai。

360网络安全研究员李丰沛透露,在积累上量过程,http81僵尸网络还尝试向一个境外IP发起过DDoS攻击,IP对应的网站是某个俄罗斯银行。

http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷

4月24日,360发布博客披露了这一僵尸网络,随后不久攻击者把它的主控域名解析到一个内网地址,暂时进行了下线。

从弱口令到远程控制漏洞

http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷

尽管http81僵尸网络暂时性下线了,但其所表现的特征需要特别警惕。

李丰沛说,http81僵尸网络利用一组OEM摄像头高危安全漏洞进行传播,而这组漏洞从公开到被利用,时间不足一月。

这意味着什么呢?我们来看看过去的IoT僵尸网络。

在Mirai之前,曾经有过一些小型的IoT僵尸网络,比如Wifatch、Lizard Squad蠕虫、智魁等,它们基本上都是利用路由器、摄像头的硬编码后台弱口令来进行攻击的。即使Mirai,早期版本也主要依靠弱口令,它内置了六十多组常见弱口令。

Mirai开源后,出现过一些使用路由器TR-069/TR-064漏洞进行攻击的变种。TR-069/TR-064漏洞在2016年11月7日披露,大约20天后,有人利用漏洞制作新的Mirai变种,感染了德国电信90万台路由器,导致德国电信大范围网络故障,几近断网。5个月后,又有人利用漏洞控制了近十万台路由器,专门向WordPress网站发起撞库攻击

相关迹象表明,黑产们正紧紧盯着IoT设备新曝光的安全漏洞,一有好使的立马用起来,其效率之高,目前的厂商修复速度大概只有望尘莫及了。

沉默的厂商

http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷

http81僵尸网络还有个有趣的插曲。嘶吼编辑在检索资料的时候,了解到知道创宇今年3月分析过利用漏洞,当时创宇的人根据相关特征查看全网数据,发现许多OEM设备在16年没有漏洞,17年却有了漏洞。

他们由此推测,该漏洞出现时间大约是去年,后来旧摄像头通过更新有漏洞固件的方式导致出现了漏洞,而那些新生产的有问题摄像头则被销售到世界各地。

一堆坏消息里,或许这算是个好消息,至少它证明OEM厂商是有更新能力的。到现在为止,我们仍不清楚OEM厂商是谁,也不清楚对方是否知晓漏洞信息,只能寄希望对方看到漏洞后会积极地修复。

在IoT设备安全形势严峻的大环境下,怎么样才能让厂商做得更安全?我们可以在历史中能找到一些借鉴。

“2000年左右的Windows,要比现在的IoT设备系统复杂很多,出漏洞的空间大很多,但Windows的安全状况改变得很好。因为微软有整套安全流程,它坚持了二十多年持续不断地改进,一直和安全社区保持沟通。”李丰沛说。

就安全社区而言,我们没有什么很好的办法来推动原始厂商往前走。只能期待厂商意识和安全响应能力的增强。无论如何,通过具体的攻击事件推动发展的代价是巨大的,对所有人都如此。




原文发布时间为:2017年5月10日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【.Net MF网络开发板研究-03】获取雅虎天气(HttpClient示例)
在网络开发板上实现Http Client,获取雅虎网站的天气信息,并把这些信息在LCD上显示出来。
478 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7744 0
jrtplib跨网络通讯NAT穿透问题解决方法
前几篇文章讲了使用jrtplib在Android和pc端进行通讯的方法 在实际项目中,手机端和pc端一般不会在同一个子网内,两者之间联络可能要走路由器之类的NAT(网络地址转换 Network Address Translation))设备   假设服务端IP地址为 112.
1075 0
【.Net MF网络开发板研究-02】Http Server功能演示
文章介绍的是真正的Http Server,支持GET和POST功能。同样我们还是在官方示例Http Server上进行修改,为了使示例更清晰,我们尽可能把代码做的更简单一些。
403 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
17436
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载