網(wǎng)絡(luò)安全公司 Bitdefender 的安全研究人員發(fā)現(xiàn),新型IoT僵尸網(wǎng)絡(luò)“捉迷藏”(HNS)1月20日攜大量“肉雞”強(qiáng)勢(shì)回歸。其首次被發(fā)現(xiàn)是2018年1月12日,截至1月25日,HNS 的“肉雞”數(shù)量已從最初的 12 臺(tái)擴(kuò)充至 1.4萬(wàn)臺(tái),也就是說(shuō),其在短短十幾天內(nèi)增長(zhǎng)了1000多倍。
Bitdefender 高級(jí)電子威脅分析師 Bogdan Botezatu 認(rèn)為,與目前大多數(shù)針對(duì) IOT 設(shè)備的僵尸網(wǎng)絡(luò)不同,HNS并非 Mirai 的變種,反而與專門攻擊中國(guó)物聯(lián)網(wǎng)設(shè)備的 Hajime 更加類似。
Hajime 又是何方神圣?說(shuō)起來(lái)它也是很有個(gè)性的一款僵尸蠕蟲了。
據(jù)此前諸多媒體的報(bào)道,它并不會(huì)執(zhí)行惡意操作,也不包含任何分布式拒絕攻擊(DDoS)功能與代碼,反而每隔10分鐘向被感染的設(shè)備推送一個(gè)消息:
我們是保護(hù)系統(tǒng)的白帽子。我們將通過(guò)此方法展示重要信息。
Hajime還做了一系列改善安全性的動(dòng)作,比如阻擋Mirai賴以攻擊的端口(23、7547、5555和5358的訪問(wèn)),關(guān)閉這些端口,將有效組織設(shè)備被Mirai感染。
但是,有人覺得 Hajime 這種強(qiáng)行提供保護(hù)的方式并不合法,難保有一天 Hajime 的作者反戈。
根據(jù) Hajime 的代碼,制造者可以隨時(shí)在網(wǎng)絡(luò)中的人易受感染設(shè)備中打開 Shell 腳本。由于使用了模塊化代碼,設(shè)計(jì)者可以隨時(shí)添加新的功能。一旦制作者改變主意打算搞點(diǎn)事情,便可以立即將受感染的設(shè)備轉(zhuǎn)變成一個(gè)巨大的惡意僵尸網(wǎng)絡(luò)。
Botezatu 指出,HNS是繼 Hajime 僵尸網(wǎng)絡(luò)之后第二款具有點(diǎn)對(duì)點(diǎn)(P2P)架構(gòu)的已知IoT僵尸網(wǎng)絡(luò)。但就 Hajime 而言,P2P 功能建立在 BitTorrent 協(xié)議的基礎(chǔ)之上,而HNS則具有自定義構(gòu)建的 P2P 通信機(jī)制。
根據(jù)Botezatu在撰寫的分析,每個(gè)僵尸程序都包含一個(gè)其他被感染機(jī)器人的IP列表,這個(gè)列表可以隨著僵尸網(wǎng)絡(luò)的增長(zhǎng)和僵尸程序的丟失或獲得而實(shí)時(shí)更新。
HNS 將中繼指令和命令互相轉(zhuǎn)發(fā),類似于P2P協(xié)議的基礎(chǔ)。 Botezatu 說(shuō) HNS 機(jī)器人可以接收和執(zhí)行幾種類型的命令,比如“數(shù)據(jù)泄露,代碼執(zhí)行和對(duì)設(shè)備操作的干擾”。
與 Hajime 一樣,研究人員并未在 HNS 中發(fā)現(xiàn) DDoS 攻擊功能,也就是說(shuō) HNS 旨在作為代理網(wǎng)絡(luò)進(jìn)行部署,這與2017年大多數(shù)IoT僵尸網(wǎng)絡(luò)被武器化的方式類似。此前,DDoS攻擊引來(lái)太多關(guān)注,從而使得很多僵尸網(wǎng)絡(luò)消失。
高度自定義化
HNS僵尸網(wǎng)絡(luò)對(duì)具有開放 Telnet 端口的設(shè)備發(fā)起字典暴力破解攻擊,這種傳播機(jī)制與其獨(dú)特的 P2P 僵尸管理協(xié)議一樣,具有高度自定義化的特征。
Botezatu 解釋,該僵尸程序具有類似蠕蟲的傳播機(jī)制,會(huì)隨機(jī)生成IP地址列表,向其發(fā)送SYN報(bào)文探測(cè)端口(232323,80,8080)開放情況。一旦建立連接,該僵尸程序就會(huì)尋找 Banner(“buildroot login:”)。在獲得該登錄 Banner 后,它會(huì)嘗試使用一系列預(yù)定義憑證進(jìn)行登錄。若獲取失敗,該僵尸網(wǎng)絡(luò)會(huì)嘗試使用硬編碼列表發(fā)起字典攻擊。
一旦與新的受害者建立會(huì)話,這個(gè)樣本將會(huì)通過(guò)“狀態(tài)機(jī)”運(yùn)行,以此正確識(shí)別目標(biāo)設(shè)備并選擇最適合的攻擊方式。例如,如果受害者與該僵尸程序位于同一局域網(wǎng),該僵尸程序便會(huì)設(shè)置 TFTP 服務(wù)器,允許受害者下載這個(gè)樣本。如果受害者在使用互聯(lián)網(wǎng),這個(gè)僵尸程序?qū)?huì)嘗試通過(guò)特定的遠(yuǎn)程 Payload 傳送方式讓受害者下載并運(yùn)行該惡意軟件樣本。這個(gè)列表可遠(yuǎn)程更新,并在遭遇感覺的主機(jī)中進(jìn)行傳播。
但值得慶幸的是,HNS 與所有 IoT 惡意軟件一樣,無(wú)法在被感染設(shè)備上建立持久性,也就是說(shuō)設(shè)備重啟時(shí),這款惡意軟件會(huì)被自動(dòng)刪除。這也使得相關(guān)人員要24小時(shí)全天候管理該僵尸網(wǎng)絡(luò),因?yàn)槠鋭?chuàng)建者會(huì)持續(xù)監(jiān)控該僵尸網(wǎng)絡(luò),以確保繼續(xù)抓新的“肉雞”。
HNS仍處在開發(fā)當(dāng)中,殺傷力不容忽視
由于物聯(lián)網(wǎng)是惡意軟件領(lǐng)域的新寵,HNS也在不斷變化,創(chuàng)建者正在探索新的傳播和漫游管理技術(shù)。
由于這些“新”僵尸網(wǎng)絡(luò)中的許多在幾個(gè)星期后就有消失的趨勢(shì),所以希望HNS的作者感到無(wú)聊,放棄他的“實(shí)驗(yàn)”。
專家表示,由1.4萬(wàn)個(gè)“肉雞”組成的僵尸網(wǎng)絡(luò)不容忽視,因?yàn)橐话隳軌蛴幸欢?ldquo;殺傷力”的僵尸網(wǎng)絡(luò),根本不需要幾萬(wàn)個(gè)肉雞,四五千就足矣。
安全建議
Imperva 的安全研究員Nadav Avital認(rèn)為:
“這個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與最近Imperva對(duì)2017年漏洞研究的發(fā)現(xiàn)相呼應(yīng)。隨著物聯(lián)網(wǎng)設(shè)備在我們現(xiàn)代生活中越來(lái)越受歡迎,它們也變得對(duì)網(wǎng)絡(luò)犯罪分子更具吸引力。 實(shí)際上,在2017年,我們記錄的物聯(lián)網(wǎng)漏洞數(shù)量創(chuàng)下記錄,從2016年以來(lái),這些漏洞數(shù)量翻了一番。
他還強(qiáng)調(diào)需要一個(gè)帳戶接管解決方案,保護(hù)所有設(shè)備的網(wǎng)絡(luò)存在。 帳戶接管是一個(gè)大問(wèn)題,但這不是物聯(lián)網(wǎng)供應(yīng)商提供保護(hù)的問(wèn)題。 因此,組織部署安全的外部解決方案是一個(gè)好主意。
京公網(wǎng)安備 11010502049343號(hào)