一起跨越一年多的案件可能帶給我們新的思考——“僵尸”來了，很難擋住。

2017年年末，美國司法部門宣布制造了“美國東部大斷網(wǎng)”的Mirai 僵尸網(wǎng)絡(luò)始作俑者認(rèn)罪，這起在 2016 年肆虐美國東部的全球首起物聯(lián)網(wǎng)攻擊再次引發(fā)了人們的關(guān)注。

事實(shí)上，雷鋒網(wǎng)此前已經(jīng)預(yù)警，安全研究員們隨后監(jiān)測到的大型僵尸網(wǎng)絡(luò)都比 Mirai 的“僵尸軍隊”要大得多。比如，規(guī)模比 Mirai 大很多的“ Satori”的僵尸網(wǎng)絡(luò)。Satori 在短短 12小時內(nèi)感染了超過 26萬個 IP 地址，利用最新發(fā)現(xiàn)的華為 HG532 系列路由器的命令執(zhí)行漏洞 CVE-2017-17215（現(xiàn)已有處理建議）控制了數(shù)十萬臺家庭路由器。（詳情見雷鋒網(wǎng)報道《巨大僵尸網(wǎng)絡(luò) Satori 沖著中國某品牌路由器而來，作者身份被披露》）。

但這只是冰山一角，現(xiàn)在看似被控制住的“ Satori”背后還有更多隱情和潛在風(fēng)險。雷鋒網(wǎng)與360 網(wǎng)絡(luò)安全研究院安全研究員李豐沛取得聯(lián)系，試圖探索這個更隱秘的“僵尸”世界。

1.“ Satori”為什么針對的是華為路由器，有什么隱情嗎？

李豐沛：現(xiàn)在Satori在12個小時的活躍數(shù)是26萬，我們估計總體規(guī)模應(yīng)該是在60萬路由器左右，這是核武器級別的“僵尸網(wǎng)絡(luò)”。

Satori大量繼承了Mirai的原代碼，主體結(jié)構(gòu)跟Mirai非常類似，但是感染手段和感染對象發(fā)生了變化。至于為什么是華為路由器，而不是其他路由器。我認(rèn)為，攻擊者應(yīng)該進(jìn)行了多種感染方式的嘗試，碰巧命中了一個能拿下非常多的路由器漏洞，而且基數(shù)以百萬計，所以很快招募到了60萬臺“僵尸”，而且主要是家用路由器。

2.我們應(yīng)該怪設(shè)備廠商“不作為”嗎？

李豐沛：這涉及到供應(yīng)鏈。說“設(shè)備供應(yīng)廠商不為安全做努力”不客觀，新出的攝像頭都會有安全措施，他們其實(shí)也在積極尋求如何讓設(shè)備更安全。

比較難處理的問題是——已經(jīng)放出去的設(shè)備。它們已經(jīng)存在網(wǎng)上，數(shù)量以百萬計，如果發(fā)現(xiàn)哪個設(shè)備型號有問題，廠商也很難控制。比如，這個東西賣給了A國、C國，沒對 B國賣過，但發(fā)現(xiàn)這個設(shè)備在B國非常多——因?yàn)殇N售管理渠道會竄貨，這就不在廠商的控制范圍內(nèi)了，它可能都無法找到一個人通知和處理。

賣出去后，有些就已經(jīng)脫離控制了。為什么國內(nèi)好一點(diǎn)？國內(nèi)往往是行業(yè)采購，比如，高速公路的管理機(jī)構(gòu)會集中采購一批，如果出了問題，好找人。只要有管事的，總能推得下去。這就是為什么中國用了很多攝像頭，但聽起來好像被攻擊得不是那么厲害的原因。他們是做了工作的，至于是否百分百盡力，是否達(dá)到社會的預(yù)期，這個有待評判，我們不說人家壞話。

3.一些 IoT 報告稱，路由器、攝像頭、打印機(jī)是物聯(lián)網(wǎng)安全隱患最多的設(shè)備，你怎么看？

李豐沛：打印機(jī)暴露在外網(wǎng)少一點(diǎn)。我們不是從漏洞來看，漏洞是潛在威脅，我們看的是已經(jīng)實(shí)際發(fā)生的，已經(jīng)被實(shí)際利用的設(shè)備。我特別想說，要注意家用路由器。美國司法部提到的認(rèn)罪書說，Mirai的三個犯罪人員在2016年12月份做漏洞注入時，感染的設(shè)備是家用路由器，不是攝像頭。

核心原因是路由器在網(wǎng)絡(luò)上的暴露面足夠大，路由器一定有公網(wǎng)地址，外面可以掃得到，這有決定性意義。除了決定性的一條，存量設(shè)備已知漏洞沒有修補(bǔ)、有一些未知漏洞、設(shè)備比較老，也都是原因。

你家里的打印機(jī)不會直接有一個公網(wǎng)地址，攝像頭、路由器都有一個公網(wǎng)地址。我們要提醒大家，家用路由器實(shí)際發(fā)生的問題比攝像頭嚴(yán)重得多。而且家用路由器真出了一點(diǎn)什么問題，你可能根本沒有意識到，只要你能上網(wǎng)，個人不會意識到路由器被控制。

從家庭用戶來說，如果網(wǎng)速變慢，你可能會重啟路由器，你就覺得沒事了。攻擊者是大面積播種，成本很低，他不太在意在感染設(shè)備這一端上隱匿自己的行蹤。

4.Satori 的事情現(xiàn)在算完美解決了嗎？

李豐沛：Satori的影響確實(shí)挺大的。12小時感染26萬，報告發(fā)出去以后，很多其他安全公司紛紛確認(rèn)我們看到的數(shù)量。每個人都看到說這個僵尸網(wǎng)絡(luò)怎么這么大。ISP、運(yùn)營商、DNS運(yùn)營商他們自發(fā)地工作，花了兩天，把控制端的域名和IP地址從僵尸網(wǎng)絡(luò)控制者那里接管過來。

這并不算完美解決。他們可以接管主控的域名和 IP 地址主控，可以顯著減緩僵尸網(wǎng)絡(luò)發(fā)展；但是設(shè)備的漏洞仍然存在，而且已經(jīng)有人知道如何做，可以以比較隱蔽的方式重新做一次。

5.再掃描一次，再做一個（控制端）域名就行了？

李豐沛：對，成本很低。

6.那怎么玩？打掉一個又長出來一個。

李豐沛：是。在網(wǎng)絡(luò)空間做的這些措施，可以抑制減緩這個威脅，比如，攻擊者下次不會大張旗鼓地掃，之前12小時掃到了 26萬臺設(shè)備，也許我們采取措施后，后來可以降低到12天掃26萬臺設(shè)備。但也是僅此而已，要?dú)w根結(jié)底徹底解決這個問題，需要執(zhí)法機(jī)關(guān)的“肉體”打擊，把嫌疑人關(guān)到監(jiān)獄里。

對付小毛賊，可以用前面提到的網(wǎng)絡(luò)安全空間的方式解決，但對付真正的江洋大盜，只能靠執(zhí)法機(jī)關(guān)。國外銀行機(jī)構(gòu)會比較關(guān)注這件事，你只要攻擊我一次，我一定把你弄到監(jiān)獄，否則后面有無數(shù)人會來攻擊我。哪怕你沒有直接攻擊我，你攻擊了我的客戶也不行。

結(jié)語

如果你曾密切關(guān)注華為 HG532 系列路由器的命令執(zhí)行漏洞 CVE-2017-17215的進(jìn)展，就會發(fā)現(xiàn)幾天前，國內(nèi)安全大牛 TK 在微博表示：“關(guān)于華為 HG532 遠(yuǎn)程命令執(zhí)行漏洞（CVE-2017-17215），所有相關(guān)文章中都說廠商已經(jīng)提供了補(bǔ)丁——寫文章的同學(xué)們，你們真的看到補(bǔ)丁了？”隨后，他稱，華為 HG532 系列路由器的命令執(zhí)行漏洞 CVE-2017-17215 可能比目前大家所看到的更危險。觸發(fā)這個漏洞所利用的端口在默認(rèn)配置下只能在內(nèi)網(wǎng)訪問，該漏洞完全可以通過 CSRF 遠(yuǎn)程利用。

這意味著，即使在現(xiàn)有的聯(lián)合絞殺下，“ Satori”看似沉寂著，但事情遠(yuǎn)未結(jié)束——無論是李豐沛所說的“ Satori”可以輕易改頭換面，還是TK 等人發(fā)現(xiàn)的該漏洞的新利用形式可引發(fā)的新威脅。

僵尸世界，一望無盡。

但還是有希望的。就如李豐沛所說的“有仇必報”的金融業(yè)案例——遭到僵尸網(wǎng)絡(luò)攻擊的金融業(yè)損失的是真金白銀，所以金融機(jī)構(gòu)一定會反擊，結(jié)合線下打擊，給這類攻擊者產(chǎn)生了威懾力。

其他行業(yè)的受害者、安全從業(yè)者與執(zhí)法機(jī)構(gòu)如果“一追到底”，結(jié)果會不會不一樣？

我們等待這個答案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。