在一年前的今天（2016.10.21），美國(guó)發(fā)生了一起規(guī)模極大的互聯(lián)網(wǎng)癱瘓事故，多個(gè)城市的主要網(wǎng)站被攻擊，人們發(fā)現(xiàn)連經(jīng)常登錄的推特、亞馬遜、Paypal 等在內(nèi)的大量網(wǎng)站連續(xù)數(shù)小時(shí)無(wú)法正常訪問(wèn)。

事后查明，一種名為“Mirai”的惡意程序，通過(guò)掃描智能攝像頭，嘗試默認(rèn)通用密碼（比如懶人經(jīng)常設(shè)置的123456、admin……）進(jìn)行登錄操作，一旦成功即將這臺(tái)物聯(lián)網(wǎng)設(shè)備作為“肉雞”納入到僵尸網(wǎng)絡(luò)里，進(jìn)而操控其攻擊其他網(wǎng)絡(luò)設(shè)備，當(dāng)控制的設(shè)備達(dá)到一定數(shù)量級(jí)后，進(jìn)行 DDoS 攻擊。

換個(gè)馬甲，我們依然認(rèn)識(shí)你

不同于以往的是，在這起事件中，“肉雞”不再是 PC 電腦，而是已經(jīng)大規(guī)模普及的物聯(lián)網(wǎng)設(shè)備---“智能攝像頭”。而這之后，Mirai 不斷在全世界留下新的“犯案”記錄，連續(xù)發(fā)動(dòng)了針對(duì)新加坡、利比里亞、德國(guó)等的DDoS攻擊。

對(duì)于這次網(wǎng)絡(luò)大癱瘓，雷鋒網(wǎng)也曾撰文分析《僵尸網(wǎng)絡(luò)新世界：攝像頭的背叛和戰(zhàn)爭(zhēng)》，其中就曾提到 Mirai 的攻擊源碼被發(fā)布后可能造成的嚴(yán)重后果。

這個(gè)病毒專門用于控制眾多品牌的攝像頭。在 Mirai 的攻擊源碼被發(fā)布到網(wǎng)絡(luò)之后，各大安全廠商迅速查殺，但是這個(gè)病毒的代碼也迅速被各路黑客改寫，成為變種繼續(xù)在網(wǎng)絡(luò)中生存。

這像極了現(xiàn)實(shí)世界中我們和病毒的對(duì)抗。每當(dāng)一種新藥研制成功，就可以殺死大部分的病毒，但是總有以下部分存活下來(lái)，適應(yīng)了新的藥物，從而成為變種，更難被殺死。

就在最近，“Mirai”的新變種就被發(fā)現(xiàn)，只不過(guò)，這次的攻擊載體由攝像頭變?yōu)榱穗娨暀C(jī)頂盒，而且攻擊目標(biāo)在中國(guó)，數(shù)量多達(dá)2億多臺(tái)。雖然入侵方式同樣是破解設(shè)備弱口令，但采用加殼措施進(jìn)行自我保護(hù)，并采用一定的算法隱藏C&C控制服務(wù)器地址，綁定端口1992，綠盟科技將其命名為“Rowdy”。

▲Mirai 和其變種 Rowdy 的樣本對(duì)比

經(jīng)過(guò)對(duì)比發(fā)現(xiàn)，Rowdy 其bot上線方式與 Mirai 相同，ddos攻擊代碼一致，代碼結(jié)構(gòu)基本無(wú)變化，基于這些特征已經(jīng)可以確定，Rowdy 樣本是Mirai物聯(lián)網(wǎng)惡意軟件的變種。

據(jù)綠盟科技安全顧問(wèn)透露，Rowdy-Bot僵尸網(wǎng)絡(luò)已經(jīng)開始向外發(fā)起DDoS攻擊，目前監(jiān)控到的國(guó)內(nèi)受控制僵尸主機(jī)已達(dá)2000多臺(tái)，其中東南部沿海地區(qū)為重災(zāi)區(qū)。

經(jīng)過(guò)評(píng)估發(fā)現(xiàn)，Rowdy在短短數(shù)月時(shí)間已經(jīng)形成了規(guī)模不小的Bot僵尸網(wǎng)絡(luò)，感染的設(shè)備涉及國(guó)內(nèi)5家廠商。據(jù)國(guó)家統(tǒng)計(jì)局2月份發(fā)布的《中華人民共和國(guó)2016年國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展統(tǒng)計(jì)公報(bào)》顯示，該設(shè)備實(shí)際用戶到達(dá)2.23億戶，如此龐大的網(wǎng)絡(luò)，一旦被Rowdy快速滲透，帶來(lái)的后果不堪設(shè)想。

根據(jù)分析，Rowdy僵尸網(wǎng)絡(luò)的C&C控制服務(wù)器，IP地址為185.47.62.133，地理位置位于荷蘭。僵尸主機(jī)與C&C控制主機(jī)通訊端口為8716。據(jù)關(guān)聯(lián)分析，C&C控制服務(wù)器與僵尸主機(jī)通訊協(xié)議為TCP協(xié)議，通訊包字節(jié)基本都在80~90字節(jié)之間。

Rowdy僵尸通過(guò)自動(dòng)化掃描方式傳播感染，構(gòu)成整個(gè)僵尸網(wǎng)絡(luò)。首先，會(huì)對(duì)目標(biāo)設(shè)備進(jìn)行掃描，利用內(nèi)置用戶名/口令字典，嘗試登錄Telnet服務(wù)。然后，再通過(guò)設(shè)備的busybox工具下載并執(zhí)行惡意病毒程序。

目前來(lái)看，Rowdy樣本支持多個(gè)平臺(tái)，包括x86、ARM、MIPS。僵尸網(wǎng)絡(luò)能發(fā)動(dòng)多種 DDoS 攻擊類型，包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。組成僵尸網(wǎng)絡(luò)的設(shè)備均為上網(wǎng)出口設(shè)備，因此該僵尸網(wǎng)絡(luò)具備發(fā)起大規(guī)模、大流量 DDoS 攻擊的能力。

為啥黑客頻頻盯上物聯(lián)網(wǎng)設(shè)備，連洗碗機(jī)都不放過(guò)！

無(wú)論是去年的“Mirai”還是最近的“Rowdy”，越來(lái)越多的物聯(lián)網(wǎng)設(shè)備成為了黑客攻擊的目標(biāo)。

在今年初，外媒 TheRegister 就曾報(bào)道過(guò)德國(guó)的一個(gè)百年家電品牌 Miele 的一款洗碗機(jī)存在漏洞，該設(shè)備其實(shí)主要作為醫(yī)療設(shè)備使用，用于實(shí)驗(yàn)室和手術(shù)器械消毒。

很多人好奇，為何這樣一款設(shè)備要連接網(wǎng)絡(luò)？Miele 的產(chǎn)品頁(yè)上有提到，這臺(tái)設(shè)備連接局域網(wǎng)是為了生成文本報(bào)告。

這臺(tái)設(shè)備的 web 服務(wù)器漏洞編號(hào)為 CVE-2017-7240，此漏洞可導(dǎo)致未經(jīng)授權(quán)的入侵者訪問(wèn)web服務(wù)器的任意目錄，攻擊者可以從中竊取敏感信息，甚至植入自己的惡意代碼、讓web服務(wù)器執(zhí)行這些代碼。

美國(guó)去年在互聯(lián)網(wǎng)“大癱瘓”后曾緊急出臺(tái)過(guò)一個(gè)《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》，其中提出，物聯(lián)網(wǎng)制造商必須在產(chǎn)品設(shè)計(jì)階段構(gòu)建安全，否則可能會(huì)被起訴！以此來(lái)強(qiáng)制廠商提高對(duì)安全問(wèn)題的重視。

那頻頻被黑客盯上的物聯(lián)網(wǎng)攻擊到底有何特殊之處呢？綠盟科技安全顧問(wèn)向雷鋒網(wǎng)編輯這樣解釋：

從技術(shù)角度來(lái)講，真實(shí)的物聯(lián)網(wǎng)設(shè)備都采用了真實(shí)的 IP，作為安全廠商來(lái)講，我們很難把設(shè)備IP和真實(shí)的用戶區(qū)分開，所以檢測(cè)時(shí)會(huì)花費(fèi)更多的時(shí)間。

與此同時(shí)，物聯(lián)網(wǎng)設(shè)備基本上是長(zhǎng)期在線的，它不像我們的PC還會(huì)有關(guān)機(jī)和開機(jī)的時(shí)候，所以隨時(shí)都可以攻擊，為黑客提供了便利。

還有就是捕獲手段非常簡(jiǎn)單，可以在短時(shí)間內(nèi)大量組織起來(lái)發(fā)動(dòng) DDoS 攻擊的設(shè)備。只要設(shè)備搭載了相關(guān)的操作系統(tǒng)，并且能夠聯(lián)網(wǎng)，那么黑客就可以入侵操作系統(tǒng)，讓這臺(tái)設(shè)備去干些什么。

那為什么物聯(lián)網(wǎng)設(shè)備的捕獲手段會(huì)比較簡(jiǎn)單呢？

綠盟科技安全顧問(wèn)告訴雷鋒網(wǎng)編輯，在 IOT設(shè)備這些年的發(fā)展中，廠商更注重的是設(shè)備功能的完善和用戶體驗(yàn)的提升，而對(duì)于安全沒(méi)有足夠的重視，使黑客能利用像缺省口令這樣簡(jiǎn)單的漏洞進(jìn)行攻擊。

應(yīng)當(dāng)如何防范？

雖然由于及時(shí)發(fā)現(xiàn)，Rowdy僵尸網(wǎng)絡(luò)被有效遏制了，但類似的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)一定會(huì)再次出現(xiàn)。物聯(lián)網(wǎng)設(shè)備，包括攝像頭、路由器、智能電視、機(jī)頂盒、智能家居和可穿戴設(shè)備，只要接入互聯(lián)網(wǎng)，搭載了相關(guān)操作系統(tǒng)，就有可能成為攻擊者的潛在目標(biāo)。攻擊者利用存在漏洞的物聯(lián)網(wǎng)設(shè)備，尤其是缺省弱口令的設(shè)備，組成龐大的僵尸網(wǎng)絡(luò)，為其發(fā)動(dòng)大規(guī)模DDoS攻擊做準(zhǔn)備，威脅互聯(lián)網(wǎng)安全。

其實(shí)利用缺省口令進(jìn)行攻擊并不是一種高難度的攻擊，綠盟科技安全顧問(wèn)建議，

對(duì)于廠商來(lái)說(shuō)，需要在生產(chǎn)的過(guò)程當(dāng)中，就對(duì)固件進(jìn)行保護(hù)，以路由器的內(nèi)置密碼為例，廠商一定要注意不要使用類似123456這樣的弱口令，而是要用數(shù)字、字母、特殊符號(hào)等更復(fù)雜的口令。而且密碼不能以明文的形式，要做一些加密處理。發(fā)現(xiàn)了相關(guān)的漏洞，及時(shí)跟安全廠商聯(lián)系，快速的更新，替換。

對(duì)于購(gòu)買了 IOT設(shè)備的普通的用戶，及時(shí)的去查看官網(wǎng)，更新固件。此外，需要遵守設(shè)備安裝手冊(cè)，按照要求修改默認(rèn)密碼。以防IOT設(shè)備變成網(wǎng)絡(luò)僵尸。

▲針對(duì)DDoS攻擊防護(hù)建議

受Rowdy感染的僵尸網(wǎng)絡(luò)具備發(fā)起多種復(fù)雜DDoS攻擊的能力。當(dāng)遭受此類攻擊時(shí)，可以通過(guò)部署本地或者云端的抗拒絕服務(wù)系統(tǒng)進(jìn)行流量清洗。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。