黑客通過惡意軟件和僵尸網絡控制了一所大學內的汽水機等物聯網設備,造成5000個操作系統被鎖。
這個故事來自Verizon的2017數據泄露概述的預覽。它涉及到一個不知名的大學、海鮮搜索和物聯網僵尸網絡,黑客使用大學的自動售貨機等物聯網設備攻擊了該大學的網絡。
最初,該大學的幫助臺收到了學生網絡連接緩慢或無法訪問的抱怨,一個安全團隊被邀請參與調查這場混亂。調查成員做出了單方面猜測,由于該網絡對于海產品相關域名的興趣驟然大增,入侵者可能想要某種海產品。
事件負責人注意到“負責域名服務(DNS)查找的名稱服伺器生成了大量報警,并對異常數量的海鮮相關域名產生了興趣。隨著服務器難以跟上,合法查找被dropped-preventing訪問互聯網的大多數。”這解釋了“網絡連接緩慢”的問題,但是對解決問題的幫助有限。
隨后,大學聯系了Verizon RISK團隊(RISK全稱是Research, Investigations, Solutions and Knowledge,即研究、調查、解決方案和知識),并移交了DNS和防火墻日志。風險小組發現大學被劫持的自動售貨機和5000臺其他物聯網設備每15分鐘就會向海產品域名服務器發送訪問請求。
事件負責人做出了以下解釋:
通過對防火墻分析,我們發現了5000多個分散的系統每15分鐘將會訪問數以百計的DNS。幾乎所有被發現的系統都存在于物聯網設施相關網絡。由于對校園大規模監控和管理的需求,從燈泡到自動售貨機等種種設備已連接入網,以方便管理并提高效率。雖然這些物聯網系統應該獨立于網絡其他部分,然而很明顯,他們為在不同的子網使用DNS服務器而進行了配置。
閱讀風險小組的報告之后,高級信息安全小組成員表示:
在這些系統發送的成千上萬的域名訪問請求中,只有15個不同的IP地址被回答。其中的4個IP地址和近百個域名都在近期的僵尸網絡觀察列表中有備案。借助暴力破解和密碼脆弱性攻擊,僵尸網絡在物聯網設備間大肆傳播。一旦密碼泄露,惡意軟件將獲得設備的完全控制權,并將通過該設施登錄、更新、更改密碼,這就是5000臺系統被鎖的原因。
起初,負責人認為走出困境的唯一途徑是更換所有的物聯網設備,包括“每一個汽水機和燈柱”。然而,風險小組的報告解釋說,“僵尸網絡在物聯網設備間的傳播必須借助暴力破解和密碼脆弱性攻擊,”所以該大學采用了包嗅探器以攔截針對物聯網設備的明文密碼竊取軟件。
通過可操作的包捕獲設備,只需短短幾個小時我們就能獲得設備的的新密碼表。通過這些密碼,我們的開發人員能夠編寫一個腳本,進而登錄并更新密碼,立刻移除所有設備的感染。
Verizon的預覽報告中羅列了這些問題的緩解和應對技巧,比如更改物聯網設備的默認憑證。它還建議,“不要把所有的雞蛋放在一個籃子里,為物聯網系統創建單獨的網絡群,并盡可能建立物聯網與其他重要網絡間的安全過渡帶。”
Verizon的即將發布的的第二次年度數據泄露概述將涵蓋16項網絡犯罪的案例研究。正如已公布的預覽所顯示的,該報告會是一次不容錯過的閱讀體驗。
京公網安備 11010502049343號