Quantcast

91大神,夯先生被抓了,勾引百名女性拍A片!

一个25岁的本科绿奴,把自己老婆跟亲妈奉献给住在隔壁的17岁主人

母子乱伦,隐秘而伟大?

女生群最近聊到的意大利吊灯式,到底是个什么样的体位?

妈妈和儿子长期保持性关系?我特么惊呆了!

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

隐秘的“僵尸”世界:针对中国路由器的巨型僵尸网络只是开始

2018-01-08 李勤 宅客频道 宅客频道

一起跨越一年多的案件可能带给我们新的思考——“僵尸”来了,很难挡住。


2017 岁末,美国司法部宣布制造了“美国东部大断网”的 Mirai 僵尸网络始作俑者认罪,这起在 2016 年肆虐美国东部的全球首起物联网攻击再次引发了人们的关注。

事实上,宅客频道此前已经预警,安全研究员们随后监测到的大型僵尸网络都比 Mirai 的“僵尸军队”要大得多。比如,规模比 Mirai 大很多的“ Satori”的僵尸网络。Satori 在短短 12小时内感染了超过 28 万个 IP 地址,利用最新发现的华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215(现已有处理建议)控制了数十万台家庭路由器。(详情见宅客频道报道《巨大僵尸网络 Satori 冲着中国某品牌路由器而来,作者身份被披露》)。

但这只是冰山一角,现在看似被控制住的“ Satori”背后还有更多隐情和潜在风险。宅客频道与360 网络安全研究院安全研究员李丰沛取得联系,试图探索这个更隐秘的“僵尸”世界。

1.“ Satori”为什么针对的是华为路由器,有什么隐情吗?

李丰沛:现在Satori在12个小时的活跃数是28万,我们估计总体规模应该是在60万路由器左右,这是核武器级别的“僵尸网络”。

Satori大量继承了Mirai的原代码,主体结构跟Mirai非常类似,但是感染手段和感染对象发生了变化。至于为什么是华为路由器,而不是其他路由器。我认为,攻击者应该进行了多种感染方式的尝试,碰巧命中了一个能拿下非常多的路由器漏洞,而且基数以百万计,所以很快招募到了60万台“僵尸”,而且主要是家用路由器。

2.我们应该怪设备厂商“不作为”吗?

李丰沛:这涉及到供应链。说“设备供应厂商不为安全做努力”不客观,新出的摄像头都会有安全措施,他们其实也在积极寻求如何让设备更安全。

比较难处理的问题是——已经放出去的设备。它们已经存在网上,数量以百万计,如果发现哪个设备型号有问题,厂商也很难控制。比如,这个东西卖给了A国、C国,没对 B国卖过,但发现这个设备在B国非常多——因为销售管理渠道会窜货,这就不在厂商的控制范围内了,它可能都无法找到一个人通知和处理。

卖出去后,有些就已经脱离控制了。为什么国内好一点?国内往往是行业采购,比如,高速公路的管理机构会集中采购一批,如果出了问题,好找人。只要有管事的,总能推得下去。这就是为什么中国用了很多摄像头,但听起来好像被攻击得不是那么厉害的原因。他们是做了工作的,至于是否百分百尽力,是否达到社会的预期,这个有待评判,我们不说人家坏话。

3.一些 IoT 报告称,路由器、摄像头、打印机是物联网安全隐患最多的设备,你怎么看?

李丰沛:打印机暴露在外网少一点。我们不是从漏洞来看,漏洞是潜在威胁,我们看的是已经实际发生的,已经被实际利用的设备。我特别想说,要注意家用路由器。美国司法部提到的认罪书说,Mirai的三个犯罪人员在2016年12月份做漏洞注入时,感染的设备是家用路由器,不是摄像头。

核心原因是路由器在网络上的暴露面足够大,路由器一定有公网地址,外面可以扫得到,这有决定性意义。除了决定性的一条,存量设备已知漏洞没有修补、有一些未知漏洞、设备比较老,也都是原因。

你家里的打印机不会直接有一个公网地址,摄像头、路由器都有一个公网地址。我们要提醒大家,家用路由器实际发生的问题比摄像头严重得多。而且家用路由器真出了一点什么问题,你可能根本没有意识到,只要你能上网,个人不会意识到路由器被控制。

从家庭用户来说,如果网速变慢,你可能会重启路由器,你就觉得没事了。攻击者是大面积播种,成本很低,他不太在意在感染设备这一端上隐匿自己的行踪。

4.Satori 的事情现在算完美解决了吗?

李丰沛:Satori的影响确实挺大的。12小时感染28万,报告发出去以后,很多其他安全公司纷纷确认我们看到的数量。每个人都看到说这个僵尸网络怎么这么大。ISP、运营商、DNS运营商他们自发地工作,花了两天,把控制端的域名和IP地址从僵尸网络控制者那里接管过来。

这并不算完美解决。他们可以接管主控的域名和 IP 地址主控,可以显著减缓僵尸网络发展;但是设备的漏洞仍然存在,而且已经有人知道如何做,可以以比较隐蔽的方式重新做一次。

5.再扫描一次,再做一个(控制端)域名就行了?

李丰沛:对,成本很低。

6.那怎么玩?打掉一个又长出来一个。

李丰沛:是。在网络空间做的这些措施,可以抑制减缓这个威胁,比如,攻击者下次不会大张旗鼓地扫,之前12小时扫到了28万台设备,也许我们采取措施后,后来可以降低到12天扫28万台设备。但也是仅此而已,要归根结底彻底解决这个问题,需要执法机关的“肉体”打击,把嫌疑人关到监狱里。

对付小毛贼,可以用前面提到的网络安全空间的方式解决,但对付真正的江洋大盗,只能靠执法机关。国外银行机构会比较关注这件事,你只要攻击我一次,我一定把你弄到监狱,否则后面有无数人会来攻击我。哪怕你没有直接攻击我,你攻击了我的客户也不行。


结语

如果你曾密切关注华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215的进展,就会发现几天前,国内安全大牛 TK 在微博表示:“关于华为 HG532 远程命令执行漏洞(CVE-2017-17215),所有相关文章中都说厂商已经提供了补丁——写文章的同学们,你们真的看到补丁了?”随后,他称,华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215 可能比目前大家所看到的更危险。触发这个漏洞所利用的端口在默认配置下只能在内网访问,该漏洞完全可以通过 CSRF 远程利用。

这意味着,即使在现有的联合绞杀下,“ Satori”看似沉寂着,但事情远未结束——无论是李丰沛所说的“ Satori”可以轻易改头换面,还是TK 等人发现的该漏洞的新利用形式可引发的新威胁。

僵尸世界,一望无尽。

但还是有希望的。就如李丰沛所说的“有仇必报”的金融业案例——遭到僵尸网络攻击的金融业损失的是真金白银,所以金融机构一定会反击,结合线下打击,给这类攻击者产生了威慑力。

其他行业的受害者、安全从业者与执法机构如果“一追到底”,结果会不会不一样?

我们等待这个答案。

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 程序媛以图搜图

心脏滴血 撞库攻击 | 黑客猎人

刷票 | 人肉 | 炸群 | 内鬼

恶性病毒怼天怼地怼对手


真相篇

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币:我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮,竟然是中国人

iPhone充电器可以当监听器?我到某宝试了下

当俄罗斯黑客遇到老虎机 发家致富

一个自动挖掘工具,能找到比核武器更可怕的漏洞

“老婆,开门”,隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁,家里闹妖精?

中国安全圈真实薪资曝光


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后,如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……


---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


文章有问题?点此查看未经处理的缓存