9月20日,安全名記Brian Krebs個(gè)人網(wǎng)站遭到流量達(dá)665Gbps,且持續(xù)多天的大規(guī)模DDOS攻擊,最終被迫下線數(shù)日。9月21日,法國網(wǎng)絡(luò)服務(wù)商OVH同樣遭到DDOS攻擊,OVH技術(shù)總監(jiān)稱攻擊流量峰值曾達(dá)到1Tbps。
網(wǎng)絡(luò)服務(wù)商Level3對Krebs網(wǎng)站的攻擊進(jìn)行調(diào)查后表示,DDOS攻擊使用了多達(dá)150萬被入侵設(shè)備組成的“僵尸網(wǎng)絡(luò)”,其中大部份為中國大華(DAHUA)公司生產(chǎn)的網(wǎng)絡(luò)攝像頭。黑客利用這些在線設(shè)備持續(xù)訪問Brian Kreb網(wǎng)站,形成大量請求流量,致其癱瘓。而對兩起DDOS攻擊進(jìn)行分析調(diào)查的FLASHPOINT公司聲稱,中國另一家廠商雄邁科技生產(chǎn)的網(wǎng)絡(luò)攝影設(shè)備由于存在漏洞,也被黑客用于發(fā)動(dòng)DDOS攻擊。安全防護(hù)商Akamai也證實(shí),Krebs網(wǎng)站和OVH遭受的DDOS攻擊來源可能為同一批受惡意軟件Mirai感染的僵尸網(wǎng)絡(luò)。
最終,Level3、FLASHPOINT和F5等其它網(wǎng)絡(luò)公司都相繼確認(rèn)黑客使用惡意軟件Mirai感染物聯(lián)網(wǎng)(IOT)設(shè)備進(jìn)行DDOS攻擊。
1 DDOS攻擊的物聯(lián)網(wǎng)僵尸軍團(tuán)組成:大量中國攝像廠商生產(chǎn)的IOT設(shè)備
大華公司生產(chǎn)的網(wǎng)絡(luò)攝像設(shè)備
經(jīng)Level 3調(diào)查發(fā)現(xiàn),攻擊krebs網(wǎng)站的僵尸網(wǎng)絡(luò)設(shè)備大部份來自臺灣、巴西和哥倫比亞,這些設(shè)備大多為中國攝像機(jī)和DVR生產(chǎn)商大華公司(DAHUA)生產(chǎn)的網(wǎng)絡(luò)攝像設(shè)備,有一百多萬暴露于互聯(lián)網(wǎng)上的此類網(wǎng)絡(luò)設(shè)備正被感染成為強(qiáng)大的僵尸網(wǎng)絡(luò)。
Level 3首席安全官Dale Drew解釋道,黑客通過攝像頭漏洞入侵控制了大量DAHUA設(shè)備,在硬件linux系統(tǒng)下生成隨機(jī)用戶,并植入惡意軟件形成僵尸網(wǎng)絡(luò)。另外,大華公司早期的大多數(shù)網(wǎng)絡(luò)設(shè)備中存在默認(rèn)用戶名密碼。
據(jù)Level3首席安全官Dale Drew表示,該漏洞很難通過遠(yuǎn)程方式解決,除非更換硬件。他們已及時(shí)告知了大華公司,雖然大華方面還未做出官方回應(yīng),但正在努力解決這個(gè)問題。
雄邁科技生產(chǎn)的網(wǎng)絡(luò)攝像設(shè)備
而另據(jù)參與調(diào)查的FLASHPOINT公司分析發(fā)現(xiàn),參與DDOS攻擊的僵尸網(wǎng)絡(luò)中還有部份為位于中國杭州的DVR生產(chǎn)商雄邁科技(XiongMai Technologies)生產(chǎn)的網(wǎng)絡(luò)攝像設(shè)備,這些設(shè)備內(nèi)置了相同的默認(rèn)用戶名密碼組合root/xc3511,且不允許用戶更改,可以被遠(yuǎn)程telnet或ssh訪問。初步估計(jì)有50多萬此類網(wǎng)絡(luò)設(shè)備存在該安全風(fēng)險(xiǎn)。
圖:雄邁科技設(shè)備全球分布圖
FLASHPOINT還聲稱,雄邁的NetSurveillance和CMS系列軟件存在可繞過認(rèn)證漏洞, 當(dāng)訪問登錄界面之后:http://
圖:CMS認(rèn)證繞過漏洞分析
會(huì)觸發(fā)DVR.htm頁面,結(jié)合CVE-2016-1000246和CVE-2016-1000245可成功實(shí)現(xiàn)繞過,這種安全漏洞能輕易讓黑客建立陣容龐大的僵尸網(wǎng)絡(luò)。詳細(xì)可參考Flashpoint技術(shù)分析報(bào)告。
2 發(fā)動(dòng)DDOS攻擊的主要元兇:惡意軟件 Mirai
根據(jù)Level3和其它調(diào)查機(jī)構(gòu)表示,DDOS攻擊中使用的惡意軟件主要以嵌入式Linux硬件IOT設(shè)備為攻擊目標(biāo)。另據(jù)數(shù)據(jù)安全公司Imperva和應(yīng)用交付網(wǎng)絡(luò)服務(wù)商F5分析證實(shí),感染IOT設(shè)備形成DDOS僵尸網(wǎng)絡(luò)的主要惡意軟件為Mirai。
Imperva 公司曾于8月17日探測到了Mirai僵尸網(wǎng)絡(luò)的一系列GRE洪水攻擊,攻擊流量的高低峰值分別達(dá)到280 Gbps 和130 Mpps。在以上兩起攻擊發(fā)生后,Imperva對全球49657個(gè)受Mirai感染的設(shè)備IP調(diào)查后發(fā)現(xiàn),Mirai僵尸網(wǎng)絡(luò)已遍及164多個(gè)國家,甚至還出現(xiàn)在黑山、塔吉克斯坦、索馬里這樣的偏遠(yuǎn)國家。
根據(jù)Imperva技術(shù)分析,Mirai具備以下特點(diǎn):
執(zhí)行不同或特定服務(wù)端口攻擊,并用61組用戶名密碼組合對IOT設(shè)備進(jìn)行暴力破解:
在代碼中內(nèi)置了感染白名單,遇到以下IP后避免進(jìn)一步感染入侵,這些IP地址包括美國郵政局、國防部、IANA、HP等組織機(jī)構(gòu):
在執(zhí)行HTTP flood攻擊中,用以下默認(rèn)user-agents請求方式進(jìn)行隱藏:
具備安全繞過能力,當(dāng)識別到DDOS防護(hù)商DOSARREST和CLOUDFLARE設(shè)備之后,會(huì)自動(dòng)執(zhí)行相關(guān)繞過策略:
比較有趣的是,當(dāng)Mirai感染了網(wǎng)絡(luò)設(shè)備之后,為了獲得感染設(shè)備的絕對控制權(quán),徹底清除其它被植入的惡意軟件,竟然建立套接字端口,利用腳本關(guān)閉ssh elnethttp等外連服務(wù),阻止其它惡意軟件或僵尸網(wǎng)絡(luò)遠(yuǎn)程操控該設(shè)備。
Mirai識別其它惡意軟件或僵尸網(wǎng)絡(luò)的方式為內(nèi)存搜讀方式(memory scraping)
以下為Mirai對另一惡意軟件Anime進(jìn)行查找和清除的代碼:
另外,在Mirai與遠(yuǎn)程C&C交互通信的代碼中,竟然還發(fā)現(xiàn)了俄語字符串,但這也只能證明Mirai開發(fā)者可能為俄語系地區(qū)黑客。(пользователь 用戶名,пароль 密碼)
另據(jù)F5公司調(diào)查聲稱,Mirai除了依靠傳統(tǒng)的ICMP UDP 和SYN攻擊外,還使用了不常用的攻擊技術(shù)“DNS water torture”和 “GRE flood”。不同于常規(guī)的DNS反射放大攻擊,“DNS water torture”由僵尸網(wǎng)絡(luò)傀儡端向目標(biāo)DNS服務(wù)器發(fā)送少量但持續(xù)的遞歸查詢請求,對目標(biāo)機(jī)構(gòu)的各個(gè)DNS服務(wù)器逐漸形成超負(fù)荷流量攻擊。
3 幕后黑手
調(diào)查專家表示,這種由僵尸網(wǎng)絡(luò)發(fā)動(dòng)的攻擊存在很多中間節(jié)點(diǎn)和虛假通信來源,很難準(zhǔn)確定位真正的幕后攻擊者。有些安全研究員仍在調(diào)查這兩起攻擊,并希望找出兩起攻擊之間的聯(lián)系和背后攻擊力量,但從事網(wǎng)絡(luò)安全和DDoS攻擊防護(hù)的專家認(rèn)為,由于兩起DDOS攻擊的波及范圍和對物聯(lián)僵尸網(wǎng)絡(luò)的使用,使此次黑客攻擊的追溯和調(diào)查毫無先例可循。
Krebs網(wǎng)站受攻擊的原因可能與其長期揭露DDOS犯罪組織有關(guān)。Akamai早前曾為Krebs網(wǎng)站提供免費(fèi)網(wǎng)站安全防護(hù),但因攔截黑客攻擊流量耗資巨大,決定放棄,Krebs網(wǎng)站后由Google’s Project Shield提供防護(hù),并于9月24日重新上線。而OVH于2014年以來,曾遭到多次DDOS攻擊。
這兩起大規(guī)模DDOS攻擊事件可能預(yù)示著網(wǎng)絡(luò)攻擊新時(shí)代的到來,物聯(lián)網(wǎng)設(shè)備正在成為惡意軟件感染的新目標(biāo),而有些安全專家甚至認(rèn)為物聯(lián)網(wǎng)設(shè)備將會(huì)成為未來時(shí)代的新型僵尸網(wǎng)絡(luò)。