日前,外媒Networkwold報道了Verizon2017年數(shù)據(jù)泄露摘要場景的深入分析報告。它涉及到一所未透露名稱的大學,海產(chǎn)品搜索和物聯(lián)網(wǎng)僵尸網(wǎng)絡。黑客利用大學里面的自動售貨機和其他物聯(lián)網(wǎng)設備對大學網(wǎng)絡進行了攻擊。
自從大學的援助中心消除學生對慢速或無法訪問網(wǎng)絡連接的投訴后,等到IT安全團隊的一位資深成員接到通知時已經(jīng)混亂不堪。這個事件是從小組成員的角度給出的。
該事件的負責人注意到“負責域名服務(DNS)查找的名稱服務器正在生成大量警報,并顯示與海鮮相關子域的數(shù)量異常。當服務器努力跟上時,卻發(fā)現(xiàn)合法的查找正在被刪除,阻止用戶訪問大多數(shù)互聯(lián)網(wǎng)”。這解釋了“網(wǎng)絡太慢”的問題。
然后,該大學聯(lián)系了Verizon Risk(研究、調(diào)查、解決方案和知識)團隊,并移交了DNS和防火墻日志。風險團隊發(fā)現(xiàn),該大學被劫持的自動售貨機和5000個其他物聯(lián)網(wǎng)設備每15分鐘就會進行海鮮相關的DNS請求。
事件負責人解釋說:
對防火墻的分析確定了超過5000個分立系統(tǒng),每15分鐘進行數(shù)百次DNS查找。其中,幾乎所有系統(tǒng)都發(fā)現(xiàn)存在專用于物聯(lián)網(wǎng)基礎設施的網(wǎng)絡部分。該大學,有一個大型的校園監(jiān)控和管理系統(tǒng),從智能燈泡到自動販賣機的一切都已連接到網(wǎng)絡,以方便管理和提高效率。雖然這些物聯(lián)網(wǎng)系統(tǒng)應該與網(wǎng)絡的其他部分進行隔離,但很明顯,它們都為在不同的子網(wǎng)中被配置使用DNS服務器。
在閱讀風險小組的報告后,高級IT安全團隊成員說:
在請求的數(shù)千個域中,只返回了15個不同的IP地址。這些IP地址中的四個和近100個域出現(xiàn)在最近的一個緊急的IoT僵尸網(wǎng)絡列表中。這個僵尸網(wǎng)絡的傳播是依靠設備之間的強制和默認弱密碼進行的。一旦知曉密碼,惡意軟件將完全控制設備,并將檢入命令基礎設施更新和更改設備密碼——鎖定我們的5000個物聯(lián)網(wǎng)設備。
首先,事故指揮官認為唯一的出路是替換所有物聯(lián)網(wǎng)設備,如“每個汽水機和燈柱”。然而風險小組的報告解釋說,“這個僵尸網(wǎng)絡的傳播是依靠設備之間的強制和默認弱密碼進行的”,所以大學可以使用數(shù)據(jù)包嗅探器截取受損物聯(lián)網(wǎng)設備的明文惡意軟件密碼。
在重新分配給設備的新密碼完整列表,我們只有幾個小時的時間來運行數(shù)據(jù)包捕獲設備。有了這些新密碼,我們的開發(fā)人員能夠編寫一個腳本,如此,我們就能登錄、更改密碼,并立即刪除所有設備上感染的東西。
Verizon的報告還包括緩解和響應提示,例如更改物聯(lián)網(wǎng)設備上的默認憑據(jù)和“不要將所有的雞蛋放在一個籃子里; 為物聯(lián)網(wǎng)系統(tǒng)創(chuàng)建單獨的網(wǎng)絡區(qū)域; 在可能的情況下將它們與其他關鍵網(wǎng)絡隔離開。