物联网时代不止摄像头被攻击,接下来机顶盒可能是重灾区
昨天是美国“黑色星期五”的一周年纪念日,16年10月21日,当时美国人民正沉浸在两位总统候选人的精彩辩论赛中,一觉起来, Twitter、亚马逊、PayPal、facebook 等热门网站就“群体抽风”无法登陆了。
事后确认,造成美国东海岸地区遭受大面积网络瘫痪断网的主要原因是美国域名解析服务提供商Dyn公司受到强力DDoS攻击,而攻击流量来源之一是感染了Mirai僵尸的摄像头设备。
Dyn公司当时称此次DDoS攻击涉及千万级别的IP地址(攻击中UDP/DNS攻击源IP几乎皆为伪造IP,因此此数量不代表僵尸数量),其中部分重要的攻击来源于IOT设备,攻击活动从上午7:00(美国东部时间)开始,直到下午1:00才得以缓解,黑客总共发动了三次大规模攻击。
而在2016年10月初,Imperva Incapsula的研究人员通过调查到的49,657个感染设备源分析发现,其中主要感染设备有CCTV摄像头、DVRs以及路由器。根据这些调查的设备IP地址发现其感染范围跨越了164个国家或地区,其中感染量最多的是越南、巴西、美国、中国大陆和墨西哥。
直到2016年10月26日,我们通过Mirai特征搜索shodan发现,当前全球感染Mirai的设备已经超过100万台,其中美国感染设备有418,592台,中国大陆有145,778台,澳大利亚94,912台,日本和中国香港分别为47,198和44,386台。
在该地图中颜色越深,代表感染的设备越多,可以看出感染Mirai最多的几个国家有美国、中国和澳大利亚。
然而隐匿一段时间后,在今年8月,绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常,经分析确认,这是一次有预谋的DDoS攻击。通过对攻击源IP进行溯源分析,绿盟科技发现本次攻击依然利用了物联网设备,不同于美国断网,这次的攻击对象居然是机顶盒,没错,就是我们几乎每天都在看的有线电视机顶盒!
绿盟科技将其命名为“Rowdy”,经过对比发现,Rowdy其bot上线方式与Mirai相同,ddos攻击代码一致,代码结构基本无变化,基于这些特征已经可以确定,Rowdy样本是Mirai物联网恶意软件的变种,虽然入侵方式同样是破解设备弱口令,但采用加壳措施进行自我保护,并采用一定的算法隐藏C&C控制服务器地址,通信端口1992。
这里需要大家密切关注的是,Mirai恶意软件经过改造后,实现了从摄像头等视频监控系统向机顶盒物联网设备的跨越,这无疑大幅度扩展了其传播范围。绿盟科技的专家也对Rowdy物联网恶意软件的传播进行了跟踪分析,以求评估其影响范围。
经过评估发现,Rowdy在短短数月时间已经形成了规模不小的Bot僵尸网络,感染的设备涉及国内5家厂商。国内的机顶盒使用量有多大?据国家统计局2月份发布的《中华人民共和国2016年国民经济和社会发展统计公报》显示,该设备实际用户到达2.23亿户,同时据奥维云网《2017年中OTT运营大数据蓝皮书》显示,该设备实际用户达到2.4亿台。如此庞大的网络,一旦被Rowdy快速渗透,带来的后果不堪设想。
在跟踪调查中发现,Rowdy-Bot僵尸网络已经开始向外发起DDoS攻击,监控到的国内受控制僵尸主机已达2000多台,其中东南部沿海地区为重灾区。
据小明评测了解Rowdy僵尸网络所控制的机顶盒数量如果达到一定量级,它所发动的DDoS攻击能量将远超Mirai僵尸网络,毫无疑问将对互联网服务造成重大破坏。幸运的是,在绿盟威胁情报中心NTI、绿盟DDoS全球态势感知平台ATM以及绿盟抗拒绝服务系统ADS联动下,及时检测并截获到这个最新的物联网僵尸网络,并将该情况及时通知客户,从而在其萌芽阶段进行了有效处理。
虽然由于及时发现,Rowdy僵尸网络被有效遏制了,但类似的物联网僵尸网络一定会再次出现。物联网设备,包括摄像头、路由器、智能电视、机顶盒、智能家居和可穿戴设备,只要接入互联网,搭载了相关操作系统,就有可能成为攻击者的潜在目标。攻击者利用存在漏洞的物联网设备,尤其是缺省弱口令的设备,组成庞大的僵尸网络,为其发动大规模DDoS攻击做准备,威胁互联网安全。
其实利用缺省口令进行攻击并不是一种高难度的攻击,绿盟科技安全顾问建议:
对厂商来说,需要在生产的过程当中,就对固件进行保护,以路由器的内置密码为例,厂商一定要注意不要使用类似123456这样的弱口令,而是要用数字、字母、特殊符号等更复杂的口令。而且密码不能以明文的形式,要做一些加密处理。发现了相关的漏洞,及时跟安全厂商联系,快速的更新,替换。
对于购买了 IOT设备的普通的用户,及时的去查看官网,更新固件。此外,需要遵守设备安装手册,按照要求修改默认密码,以防IOT设备变成网络僵尸。
如果被感染,请重启设备,并且请求设备厂商更新固件剔除Telnet服务,而且不必要联网的设备尽量不要接入到互联网中。所以,使用物联网设备的朋友们,为了不让你家的智能设备沦为“肉鸡”,一定要改一个复杂的密码!
推荐阅读: