一个新的物联网僵尸网络风暴即将来临

一个新的物联网僵尸网络风暴即将来临
2018年03月05日 22:31 叫兽好萌安静

近日,外国某科技网站报道:庞大的僵尸网络正在形成,以制造一个网络风暴,可能会使互联网遭到破坏,估计有百万个组织已被感染。僵尸网络正在招募诸如IP无线摄像机的IoT设备来进行攻击。

新的网络风暴云正在聚集。 Check Point研究人员发现了一个名为“IoTroop”的全新僵尸网络,以更快的速度发展和招募物联网设备,并且比2016年的未来僵尸网络更具潜在的伤害。

IoT Botnets是互联网连接的智能设备,已被同一恶意软件感染,并由远程位置的威胁演员控制。他们已经对全球各地的组织造成了最严重的网络攻击,包括医院,国家运输联络,通讯公司和政治运动。

虽然一些技术方面导致我们怀疑可能连接未来,这是一个全新的,更复杂的运动,在全球迅速蔓延。现在猜测这个威胁行为者的意图为时过早,但是以前的僵尸网络DDoS攻击主要是取消了互联网,至关重要的是组织做出正确的准备,防御机制在攻击之前就已经到位了。

9月份最后几天,Check Point的入侵防御系统(IPS)首次采集了不祥的迹象。黑客正在越来越多地尝试利用各种IoT设备中发现的漏洞的组合。

随着恶意软件的不断发展,越来越多的无线网络摄像机设备(如GoAhead,D-Link,TP-Link,AVTECH,NETGEAR,MikroTik,Linksys,Synology等)都面临着越来越多的漏洞。很明显,尝试的攻击来自许多不同的来源和各种物联网设备,意味着攻击正在由物联网设备本身传播。

到目前为止,我们估计有超过一百万个组织已经在全球范围内受到影响,其中包括美国,澳大利亚和其他地区之间的数量正在增加。

我们的研究表明,我们正在经历一场更加强大的风暴之前的平静。接下来的网络飓风即将来临。

研究背景

创建受感染设备的网络不是一个攻击者的快速任务。为了建立有效的僵尸网络,攻击者需要能够控制大量的设备。由于将恶意代码单独发送到每个设备将是一项庞大且耗时的任务,因此,每个受感染的设备将恶意代码分发到其他类似的设备本身要容易得多。这种攻击方法被认为是传播攻击,对于快速创建大型受控设备网络至关重要。

我们的研究始于1997年9月底,注意到越来越多的尝试渗透到我们的IoT IPS保护。在这个可疑活动之后,我们很快意识到我们正在目睹一个庞大的物联网僵尸网络的招聘阶段。

分析链中的节点

随着Check Point全球威胁地图显示我们的IoT IPS保护的大量命中,我们的团队开始研究一些攻击来源,以便更好地了解发生了什么。以下是对这些设备之一的分析。

从这个网站看,我们可以收集到这个特定的IP(上面模糊)属于一个GoAhead摄像头,其中一个开放的端口81可以通过TCP运行。 这只是受感染设备类型的一个示例。 还有很多其他的 - 例如 D-Link,NETGEAR和TP-Link设备等等。

进一步检查时,访问此IP设备的System.ini文件(如下所示),以检查是否妥协。 在正常的机器上,该文件将包含用户的凭据。 然而,在这个设备上发现的是一个带有“Netcat”命令的编辑版本,它为攻击的IP打开了一个反向shell。 这告诉我们,这台机器只是链条中的一个环节,它被感染,然后也传播感染。 在这种情况下,使用“CVE-2017-8225”漏洞穿透GoAhead设备,并且在感染目标机器之后,同一目标开始寻找其他设备进行感染。

经过进一步的研究,发现许多设备都被瞄准,后来发送感染。 这些攻击来自许多不同类型的设备和许多不同的国家,共有大约60%的企业网络是ThreatCloud全球网络的一部分。

IPS覆盖

虽然这可能是正在进行数百万次攻击的新威胁,但Check Point IPS已经阻止了感染的方法。 所列出的漏洞已被覆盖,目前正在监控设备的新变体。 下表列出了IPS发布的与此次攻击相关并可能相关的IoT保护。

Seen in the Context of the current Attack?

  • VendorProtection Name
  • 有进取心的无线IP摄像机(P2P)WIFICAM相机信息披露+
  • 无线IP摄像机(P2P)WIFICAM摄像机远程代码执行+
  • 友讯科技友讯科技850 l路由器远程代码执行+
  • 友讯科技DIR800系列路由器远程代码执行+
  • 友讯科技DIR800系列路由器信息披露+
  • 友讯科技850 l路由器远程未经身份验证的信息披露+
  • 友讯科技850 l路由器饼干溢出远程代码执行+
  • Dlink IP摄像机视频认证绕过——Ver2+
  • Dlink IP摄像头亮度信息披露——Ver2

    友讯科技DIR-600/300路由器未经身份验证的远程命令执行

    +

    +

  • Dlink IP摄像头验证任意命令执行——Ver2- - - - - -
  • TP-LinkTP-Link无线Lite N接入点目录遍历- - - - - -
  • TP-LINK WR1043N多个跨站点请求伪造- - - - - -
  • 美国网件公司DGN未经身份验证的命令执行

    美国网件公司ReadyNAS远程命令执行

    +

    +

  • 美国网件公司美国网件公司DGN2200 dnslookup。 cgi命令注入- - - - - -
  • 美国网件公司ProSAFE NMS300很常见。 做任意的文件上传- - - - - -
  • 美国网件公司路由器认证绕过- - - - - -
  • 美国网件公司ReadyNAS np_handler代码执行- - - - - -
  • 美国网件公司R7000和R6400目录命令注入- - - - - -
  • AVTECHAVTECH设备多个漏洞+
  • MikroTikMikroTik RouterOS SNMP安全旁路- - - - - -
  • MikroTik RouterOS Admin密码更改- - - - - -
  • Mikrotik路由器远程拒绝服务- - - - - -
  • 连系Belkin路由器WRT110——Ver2远程命令执行- - - - - -
  • 路由器WRH54G HTTP管理界面DoS Ver2代码执行- - - - - -
  • Belkin路由器WRT110远程命令执行- - - - - -
  • 贝尔金连系多个产品目录遍历- - - - - -
  • Belkin路由器E1500 / E2500远程命令执行+
  • 思科路由器PlayerPT ActiveX控制缓冲区溢出- - - - - -
  • 思科路由器PlayerPT ActiveX控件SetSource sURL论点缓冲区溢出- - - - - -
  • SynologySynology DiskStation经理SLICEUPLOAD代码执行- - - - - -
  • LinuxLinux系统文件信息披露+

金山毒霸安全专家,表示正对该报道描述进行实验核实中,有新的进展,将会公布的。对此,大家有什么看法,欢迎大家关注、转发、点赞、评论、收藏等方式交流。

财经自媒体联盟

新浪首页 语音播报 相关新闻 返回顶部