Mirai 的本意是“未來”,但是去年它卻以一個惡意軟件的身份嘲諷大家——“呵呵,你們在網絡世界中沒有未來!”。
黑客們使用被稱作「物聯網破壞者」的 Mirai 病毒來進行【肉雞】搜索,并借此控制了美國大量的網絡攝像頭和相關的 DVR 錄像機等物聯網設備,然后他們又操縱這些【肉雞】攻擊了美國的多個知名網站,包括 Twitter、Paypal、Spotify 在內多個人們每天都用的網站被迫中斷服務。
圖:紅色部分表示有人反應他們無法訪問網站
這一事件也讓“DDoS(分布式拒絕服務)”成功打入公眾視野,然而DDoS只是小孩子過家家,畢竟,上述被傳得神乎其神的“半個美國互聯網癱瘓”事件也就僅僅持續了6個小時,各大公司的安全專家可不是坐著吃干飯的。
但是現在,忘記Mirai,忘記DDoS吧!在我軍還沒針對Mirai想出行之有效的應對手段之前,敵方的裝備,又一次升級了——BrickerBot 已經開始發動PDoS (Permanet Denial of Service,永久拒絕服務攻擊)這種“滅門攻擊”了!
超越Mirai的BrickerBot
BrickerBot 能夠感染基于 Linux 系統的路由器或者類似的 IoT 設備。機器程序一旦找到一個存在漏洞的攻擊目標,BrickerBot 便可以通過一系列指令清除設備里的所有文件,破壞儲存器并切斷設備網絡鏈接。考慮到修復損壞需要耗費的時間和費用,目標設備事實上遭到了破壞,或者說是變磚了。
嗯,怪不得叫Bricker,名字起得夠傳神~
為了說明DDoS(分布式拒絕服務)和PDoS (永久式拒絕服務)這兩種攻擊方式本質上的區別,iot101君給大家舉個簡單的例子。
你家門口有家餐館是為大眾提供餐飲服務,如果因為某些原因,這個餐館無法提供服務了,這就是DoS(拒絕服務),但是想讓餐館無法正常營業的方法有很多......
假如這個餐館只能容納50人,某日有個商家惡意競爭,雇傭了100個地痞來飯店坐著不吃不喝,導致飯店滿滿當當無法正常營業,這就是所謂的DDoS攻擊。這種情況下商家要想善后也不是太難,只要派人把不吃不喝的人全都轟出去,飯店就能恢復正常營業,這叫DDOS防御成功。
但是如果競爭對手比較惡劣,就不是叫人進來坐著不動這么簡單了,地痞們一哄而上,把餐館里的鍋碗瓢盆冰箱里的瓜果蔬菜乃至桌子椅子全都砸了,順手扔了出去,還把餐館老板堵在屋里,手機沒收,讓他無法在這個過程中求助,這就叫PDoS ,也就是BrickerBot 干的事兒。
該軟件由著名安全公司Radware的研究人員于近日發現,他們用“蜜罐技術”捕捉到節點遍布全球的兩個僵尸網絡,分別命名為 BrickerBot.1 和 BrickerBot.2。
目前,研究人員發現 BrickerBot.1已經不再活躍,而 BrickerBot.2 的殺傷力正與日俱增,幾乎每隔兩個小時就會被蜜罐記錄。由于攻擊之后并沒有明顯的標志,因此設備主人并不知道發生了什么,那些默認啟用了遠程登錄協議以及默認密碼的智能設備便會永久沉默。
Radware公司的研究人員表示:“惡意軟件的目標是基于Linux系統運行BusyBox的物聯網設備,似乎對Ubiquiti網絡設備有特殊的親和力。病毒一旦進入操作系統,使用rm -rf /*并且禁用TCP協議的時間戳選項,還能限制內核線程的最大數量為1。接著,Brickerbot會沖破所有的iptables防火墻和NAT規則,并添加一個放棄所有出站信息包的規則。最后,他試圖消滅所有受感染的設備的代碼使其失去作用。”
2016年的預言正在變為現實
按照套路,每年年末都會出現一大批預測來年趨勢的文章,鑒于大多數都是拍腦袋想出來的未來,人民群眾們也就跟著看看熱鬧,很少當真,被啪啪打腫臉的預測更是數不勝數。
但是唯獨物聯網安全領域,2016年做出的預測都正在2017變為現實!
在2016接連發生三起大規模DDoS攻擊事件之后,許多預測機構表示:2017年,物聯網安全問題會愈演愈烈,攻擊手段和攻擊規模都會不斷升級,安全事件至少會再翻一番。
現在也的確如此,攻擊手段的確升級了。令人膽戰心驚的是,新式PDoS攻擊的流程并不復雜,甚至可能比DDoS還簡單:
假設攻擊者X要對目標企業的網絡或設備發起拒絕服務攻擊,如果按照常規的方法,需要先通過僵尸網絡控制一定數量的客戶端(n>100),在保證攻擊效果的前提下,客戶端數量可能還要增加到500臺以上,這對一般的攻擊者來說并不容易實現。
但如果攻擊者X采用了上述提到的BrickerBot ,X只需要先找到目標企業網絡出口前端的網絡設備地址,并通過密碼破解、社會工程學、系統漏洞等方法,獲取該網絡設備的管理員登陸密碼,然后直接上傳經過修改或損壞的固件升級,使該網絡設備失效或永久損害,從而達到對目標企業的網站或網絡出口進行拒絕服務攻擊的目的。
如果企業的網絡設備沒有進行過安全加固,采用弱口令或沒有口令保護,攻擊者采用這種攻擊方法的成功率會大大提升。
有業內人士表示,攻擊者甚至還可以通過上傳一個修改過的固件的方法,在目標的網絡設備上留下后門程序、捆綁惡意代碼、修改目標DNS服務器指向,網絡釣魚,或對目標的內部網絡進行進一步滲透等,一旦攻擊成功,對目標企業的威脅將是隱蔽而長期的。
再者,BI Intellige在《Internet of everything 2016》報告中預測,到 2020 年將有 340 億臺設備接入物聯網,安裝的物聯網設備數量將達到 240 億臺。面對這么多的聯網設備,安全事件的規模也會越來越大。考慮到物聯網設備種類多、數量大并且相互連接,一個小問題就可能會對個人隱私、國家安全及社會穩定產生重大影響。
學會像黑客一樣思考
當提到信息和服務時,物聯網設備的確開辟了新領域。新的設備可以處理各種信息并且比之前的設備更能影響現實生活:處于生產線之中的物聯網設備一旦紊亂可能會使攪拌的化學品比例失調;家中的物聯網設備被侵入時有可能打開房門;或者公司內部的視頻可能會讓外部的人分享。
盡管這些威脅是一樣的,但是風險可能迥然不同。
作者辰光在《盤點:2017年物聯網安全的六大趨勢》一文中表示:擁有物聯網設備的機構不僅僅應該將精力放在確保產品安全上,還要學會像黑客一樣思考。
First,黑客為啥要覬覦自家的物聯網設備?
排除展示自己很牛逼或者看不順眼這種坑爹理由......剩下的......要么是因為你家設備的價值很高,一旦入侵可能造成很大的財產/人身傷害,比如單體價值高達數十萬歐元的打印機或是失靈就會出人命的心臟起搏器;要么就是你家設備幾乎沒有采取任何安全防御措施,簡直漏洞百出,破壞一下全當給你提個醒~
Second,采取何種措施才能讓這些設備不再成為黑客關注的目標?
如果物聯網設備比較簡單,那么最基礎的措施就是改變所有設備上的初始密碼,廠商應該清楚,用戶幾乎是不會去主動更換密碼的,廠商可以把這做為一項簡單卻行之有效的服務提供給用戶;其次,關閉或者限制遠程登錄以及SSH,它們很可能被攻擊者濫用;還有,確保物聯網設備不斷更新。
如果你的物聯網設備價值高昂甚至涉及人身安全,那么切記要杜絕將物聯網設備暴露在開放的互聯網之中,這可能是最重要的考量。
目前,物聯網產業還處在初級階段,物聯網安全保護還沒有被產業界重視,作為廠商,你不能期待消費者擁有相關的安全知識,因此,安全問題需要從設計之初就開始考慮。廠商不能為了降低成本而不重視聯網設備的安全性,從而給黑客可乘之機。
京公網安備 11010502049343號