僵尸网络新世界:摄像头的背叛和战争(2)
目前我们所探测到的 Marai 和变种所控制的设备,单一控制端就可以打出 1Tbps 的 DDoS 攻击(每秒1T流量),这比人类历史上已公开的最大攻击——去年 CDN 服务巨头 Akamai 曾遭遇 620G左右 DDoS 攻击——还要大得多。 李丰沛说出这个让人忧心的现状。 但这还不是黑暗力量的全部。 广袤的网络海洋中滋生出更多“怪兽”,一个名为“Hajime”的木马,和 Mirai 一样,这种木马也在没日没夜地侵袭网络空间中的摄像头。然而让全世界都难以理解的是:在整个 Hajime 木马中,却没有一行攻击代码。 它恰恰像我们体内95%的 DNA 一样,不参与遗传,不表达特征,它们的存在就像一种寄生,它的迅猛侵袭让人看不清动机却又无比恐惧。 目前,Hajime 在全网的体量已经仅次于 Mirai,成为一个“隐形的巨人”,就像房间里的大象,人们都知道它的存在,却经常忽略它的影响。李丰沛说: 卡巴斯基最先报告了 Hajime,如今它在规模上已经大体和 Mirai 成为同一级别。它的感染量巨大,虽然没有攻击代码,但在传播的过程中都有可能造成网络灾难。另外,今天它没有攻击代码,并不代表它永远人畜无害,因为黑客对它拥有完整的 Root 权限,是可以随时升级成为进攻武器的。 让人惊奇的是,Mirai 和 Hajime 这两支网络世界最大的军团在每一台摄像头里都进行着白热化的争斗。 一旦一个病毒成功入侵了摄像头,拿到最高的 Root 权限,就会采取“堵门”策略,其他的病毒都无法进入。 一旦一个病毒入侵摄像头之后,由于种种程序错误不能拿到最高权限,后面进来的对手就会把它踢掉,再后来的对手又会把上一任踢掉。如此循环。 很多用户的摄像头不仅已经不属于他们自己,反而成了病毒之间火并的战场。 李丰沛说。 Mirai 和 Hajime 的混战如火如荼,研究员却突然发现有一支新的木马正在崛起。一开始他们以为这又是一支新的 Mirai 变种,但是,这支病毒迅速占领全球很多摄像头,并且持续对外发出扫描动作,短时间内就爬到了监控数据榜的前十位。这个势头让李丰沛和同事不得不重视。 本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。 神秘的第三位巨头:HTTP81HTTP81 浮出水面。 “HTTP81”是李丰沛和团队为这个木马的命名。在2017年4月,团队观测到了这个木马。之所以叫 HTTP81,是因为这个木马不断扫描网络设备的“81”端口,这和 Mirai 扫描的“23”端口显著不同。李丰沛说,把这个木马病毒和 Mirai 区分开的因素有三个: 传播方式不同:Mirai 最初主要扫描“23”端口,HTTP81主要在“81”端口上扫描。利用了和所有 Mirai 家族都不一样的漏洞。 通信方式:在通信协议方面,HTTP81采用了不同于 Mirai 全新的“自主研发”通信协议。 攻击方试:Mirai 最有特征的攻击方法是 JRE 和 STOMP 攻击,而 HTTP81 实现了全新的攻击方试。 李丰沛觉得,HTTP81 的作者也是个聪明人,整体代码质量不错,是安全研究员的强劲对手。当他把这个病毒报告给注明病毒平台 VirusTotal 的时候,进驻的57家安全厂商已经有7家发现了这个问题,不过,这7家都是国外厂商,并且有一些并没有意识到这个病毒的可怕性,只是把它当做简单的 Mirai 变种来处理。 可怕的事情还是发生了。 迅速感染了4-5w台设备之后,HTTP81 俨然成为了 IoT 僵尸网络的第三名,虽然离前两位还差两个数量级别。在2017年4月23日,HTTP81 发起了第一次进攻。目标是俄罗斯的一家银行。这让李丰沛和同事们感觉到更重的责任。由于这个病毒的攻击域名地处伊朗,并且对域名信息做了严密的隐私保护,所以远在中国的安全研究员对抗它的最好方式就是——把这个病毒的技术细节公布于众。 就在首次攻击发生的第二天,360 选择在网络安全研究院的博客上发布了对这个木马的研究报告,把它的攻击方法进行了曝光。就在报告发出的一天之后,HTTP81突然把控制端解析到了一个内网网段,并且在48小时之内停止了对外的扫描扩张。 这种立竿见影让作为安全研究员的李丰沛觉得非常鼓舞。但他知道,这一切只能拖慢黑客的步伐。因为 HTTP81 的控制者显然只是选择了蛰伏,未来某一天只要他重新修改控制端口的数据,就可以立刻让僵尸复活。 ▲根据 360 的报告,由于数据的地缘性限制,看到“HTTP81”被感染设备的分布主要限定在中国大陆地区。具体位置分布如上图(此图仅为示意,南海部分领海未显示在内)。 而在李丰沛的数据地图上,拥有 100-1000 个设备的僵尸网络,每天都会新增几十个。对于这些僵尸网络的追踪,要耗费巨大的成本,作为安全企业,难以以一己之力斩草除根。 不死的僵尸网络不久前,国外安全公司赛门铁克发布报告,里面有一个震惊的结论:一个物联网设备在接入互联网2分钟之后就会被僵尸网络控制。这就是智能设备的安全现状。 这些摄像头、路由器等物联网设备的安全状况处在极其“坑爹”的状态,很多设备都使用了“admin”或者“root”这样的通用密码,并且一大部分还把密码写死在了硬件里,没办法更改。至于这些硬件的系统,大多更是没有任何加固,也没有升级更新的机制。对于很多黑客来说,搞定他们只需要动动小手指。 根据 Gartner 的预计,到2020年,全球的物联网设备数量将达到200亿台。难以想象 200 亿台设备被黑客控制,将是怎样可怕的场景。 李丰沛说,追踪 HTTP81 的设备,最终会追溯到某白牌摄像头生产企业,位于中国。实际上目前很多摄像头的生产企业都位于智能硬件制造业发达的中国,但受制于成本和意识,很多企业并没有安全意识。 这就像PC时代的历史一样。PC 系统历经10年才有了今天的安全意识,才有了对于白帽子和漏洞的奖励机制,才有了各大安全厂商的 SRC,而智能硬件在短短几年就从零发展到了几千万台。厂商具备安全意识的过程也许不会有10年那么长,但是我们仍然要等待。 实际上,即使是以法律制度健全著称的美国,在去年发生大断网事件以后,国土安全部才发布了 IoT 相关的策略性文章,政府在此指导下的具体规则,还在制定当中。也许在正义的力量集结之前,你和我还要在僵尸网络的笼罩下继续等待。 阳光猛烈,岁月静好,远方的大坝正在出现裂痕。 你猛然驻足。 本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。 雷锋网原创文章,未经授权禁止转载。 (编辑:ASP站长网) |