本文讲的是http81僵尸网络预警:专门攻击摄像头,国内5万台设备已沦陷,过去一年里,大半个安全社区都在为两件事情忙碌,勒索软件和Mirai蠕虫。
勒索软件不必多说,由于长期占据头条位置,许多安全公司把2016年直接命名为“勒索软件之年”。如果你还不清楚,赶紧在嘶吼网站学习下。
与强行要钱的勒索软件相比,Mirai蠕虫则显得有些和风细雨,日常只是不停地寻找WiFi摄像头,感染、感染、再感染。但它一旦爆发,后果极为惊人,像针对KrebsOnSecurity、OVH打出了创纪录DDoS流量,Dyn被D导致数百个知名网站无法访问,造成了美国过半地区类似“断网”的效果。
Mirai开启了一扇地狱之门,让大家去认清IoT设备的薄弱安全现状。它不是孤例,现在,新的恶鬼来了。
Mirai的新同伴
自2016年9月曝光以来,Mirai蠕虫首度迎来新同伴。
根据360网络安全研究院监测,从今年4月16日开始,有一个新的IoT僵尸网络在HTTP 81端口进行大范围传播。
这个僵尸网络利用一组公开不久的OEM摄像头安全漏洞进行传播,由于是OEM贴牌设备,许多品牌摄像头也受影响,漏洞作者评估有超过1250个不同厂商、型号的摄像头受影响,通过Shodan估算目前互联网上有超过15万设备易被攻击。
http81僵尸网络的扩张极为迅猛。经过前期初步试探,在4月16日-24日9天时间内,它开始全网疯狂扫描寻找问题摄像头,每日扫描至少150万次,最多的一天用57400个IP扫描了将近270万次。
其主要分布在国内,目前已经感染了超过5万台摄像头,量级正在接近Mirai。
360网络安全研究员李丰沛透露,在积累上量过程,http81僵尸网络还尝试向一个境外IP发起过DDoS攻击,IP对应的网站是某个俄罗斯银行。
4月24日,360发布博客披露了这一僵尸网络,随后不久攻击者把它的主控域名解析到一个内网地址,暂时进行了下线。
从弱口令到远程控制漏洞
尽管http81僵尸网络暂时性下线了,但其所表现的特征需要特别警惕。
李丰沛说,http81僵尸网络利用一组OEM摄像头高危安全漏洞进行传播,而这组漏洞从公开到被利用,时间不足一月。
这意味着什么呢?我们来看看过去的IoT僵尸网络。
在Mirai之前,曾经有过一些小型的IoT僵尸网络,比如Wifatch、Lizard Squad蠕虫、智魁等,它们基本上都是利用路由器、摄像头的硬编码后台弱口令来进行攻击的。即使Mirai,早期版本也主要依靠弱口令,它内置了六十多组常见弱口令。
Mirai开源后,出现过一些使用路由器TR-069/TR-064漏洞进行攻击的变种。TR-069/TR-064漏洞在2016年11月7日披露,大约20天后,有人利用漏洞制作新的Mirai变种,感染了德国电信90万台路由器,导致德国电信大范围网络故障,几近断网。5个月后,又有人利用漏洞控制了近十万台路由器,专门向WordPress网站发起撞库攻击。
相关迹象表明,黑产们正紧紧盯着IoT设备新曝光的安全漏洞,一有好使的立马用起来,其效率之高,目前的厂商修复速度大概只有望尘莫及了。
沉默的厂商
http81僵尸网络还有个有趣的插曲。嘶吼编辑在检索资料的时候,了解到知道创宇今年3月分析过利用漏洞,当时创宇的人根据相关特征查看全网数据,发现许多OEM设备在16年没有漏洞,17年却有了漏洞。
他们由此推测,该漏洞出现时间大约是去年,后来旧摄像头通过更新有漏洞固件的方式导致出现了漏洞,而那些新生产的有问题摄像头则被销售到世界各地。
一堆坏消息里,或许这算是个好消息,至少它证明OEM厂商是有更新能力的。到现在为止,我们仍不清楚OEM厂商是谁,也不清楚对方是否知晓漏洞信息,只能寄希望对方看到漏洞后会积极地修复。
在IoT设备安全形势严峻的大环境下,怎么样才能让厂商做得更安全?我们可以在历史中能找到一些借鉴。
“2000年左右的Windows,要比现在的IoT设备系统复杂很多,出漏洞的空间大很多,但Windows的安全状况改变得很好。因为微软有整套安全流程,它坚持了二十多年持续不断地改进,一直和安全社区保持沟通。”李丰沛说。
就安全社区而言,我们没有什么很好的办法来推动原始厂商往前走。只能期待厂商意识和安全响应能力的增强。无论如何,通过具体的攻击事件推动发展的代价是巨大的,对所有人都如此。
原文发布时间为:2017年5月10日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。