开发者社区> 技术小能手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

黑客靠弱密码打造僵尸网络,结果自己在弱密码上翻车了

简介:
+关注继续查看

这句话可能有点绕,一个利用物联网设备的弱密码来打造僵尸网络的背后组织,在自家的数据库上又用了弱密码,结果被安全研究人员发现了……

这事说起来有点搞笑,却是最近真实发生的事情。

我们来看看青天科技(NewSky Security)的投稿。

Owari 的 MySQL 数据库

讲 Owari 这个物联网僵尸网络,就得先说说 Mirai 这个物联网僵尸网络的老祖宗。Mirai 的数据库是 MySQL 的,里面有三张表:用户、历史和白名单。好多 Mirai 的后代都开拓了新的方式,不过数据库这块还是用老祖宗的多,Owari 也是这么个好孩纸。

我们的某个蜜罐某天受到一个来自80(.)211(.)232(.)43这个IP的攻击,命令是/bin/busybox OWARI post successful login。我们发现发过来的载荷代码里面想搞一下post 下载。

出于黑客的直觉我们自然去看了看对方的IP,然后发现他们开着3306口,配置MySQL也不改个缺省端口,鄙视一下。

35489c97be6489c286e67d900e3e7ac6d20c326c

我们就跑去试了一下对方的密码,结果发现:全世界人民都知道啊!

用户名: root

密码: root

数据库里那点事儿

既然门都没关我们就进去瞅了瞅。

用户表里面是一帮控制这个僵尸网络的用户名和密码。有些应该是作者,还有一些是客户,也叫黑箱用户,就是交钱,然后打流量。除了密码,还有能用多久,用多少僵尸,如果是-1就是全军都能用,以及冷却时间,就是打过以后要休息多久的意思。

在这个 Owari 的例子里面,我们找到一个用户的时间是 3600 秒,也就是一小时,而且僵尸总量是-1,大客户啊。注意这里用户密码也是明文的,再鄙视一次。

d5e8a547adb0c4b1911a6123d880c1012f8ba805

在历史记录表里面,我们找到了历史攻击IP记录。好多IP地址都没啥关联,我们猜测,是因为他们在打对手的僵尸网络,黑吃黑的意思。

黑客靠弱密码打造僵尸网络,结果自己在弱密码上翻车了

白名单表居然是空的,说明这个僵尸网络胃口很好逮谁打谁。

而且这个还不是孤例,另外一个IP(80.211.45.89)也是一样的root:root登录。

商业模式了解一下

Owari 的代码已经在暗网上面泄露了,所以很难找到原作者。不过我们还是找到了一位代号“疤脸”的僵尸网络操控者,让 TA 讲解一下攻击事件,冷却时间和 Owari 网络的使用价格。

“一般我每个月收费是 60 美元,提供 600 秒的服务。这个价位跟同行比不算高的。不过只有这种方法我才能保证僵尸设备的数量。我不能让十来个用户每个人都跑 1800 秒。我一般不让设备冷却。如果要冷却时间,我一般会设置成最多 60 秒。一个用户每月 60 每月不算多,不过每月有 10 个到 15 个用户的话,我平时的网络费用就够用了” -疤脸

后来

或许大家以为一旦拿到 MySQL 数据库的改写权限,就能删除数据来把僵尸网络给搞掉。可惜事情没有这么简单,因为僵尸网络控制服务器 CnC 的 IP 地址很快就会失效(平均有效期是一周)。僵尸网络的控制者知道自己的 IP 地址很快就会被标记为恶意,因为流量太差了。所以,他们经常会主动的改变IP来躲开监控。我们文中提到的两个 IP 地址都已经下线了。


原文发布时间为:2018-06-5

本文作者:李勤

本文来自云栖社区合作伙伴“雷锋网”,了解相关信息可以关注“雷锋网”。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
浏览器内核之资源加载与网络栈(上)
此文章是我最近在看的【WebKit 技术内幕】一书的一些理解和做的笔记。 而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。 书接上文 浏览器内核之WebKit 架构与模块
25 0
浏览器内核之资源加载与网络栈(下)
此文章是我最近在看的【WebKit 技术内幕】一书的一些理解和做的笔记。 而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。 书接上文 浏览器内核之WebKit 架构与模块
34 0
把业务逻辑变成数据结构和SQL语句的例子。自然架构改成自然框架
    更正:和大家交流了一下,发现现在就叫做架构有一点大,还是叫做框架更准确一些,就叫做自然框架吧。     目前自然框架的内容包括三个部分:使用自定义控件快速实现增删改查和导出Excel、通用权限、个性化设置。
924 0
【自然框架】之“元数据”的威力
定义      元数据最本质、最抽象的定义为:data about data (关于数据的数据)。它是一种广泛存在的现象,在许多领域有其具体的定义和应用。       我的理解就是对数据进行说明、描述。
723 0
僵尸网络产生的垃圾邮件占全球的40%
据赛门铁克MessageLabs实验室发布的最新统计数据显示,全球40%的垃圾邮件都来自于一个计算机网络。计算机安全专家正在继续与这个网络做斗争。 自从4月以来,这个名为“Rustock”的僵尸网络已经缩小了。
744 0
+关注
技术小能手
云栖运营小编~
7194
文章
9
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新