僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

責(zé)任編輯:editor007

作者:史中

2017-05-12 18:12:32

摘自:雷鋒網(wǎng)

根據(jù) 360 網(wǎng)絡(luò)安全研究院對外發(fā)布的探測數(shù)據(jù),可以確定捕捉到的被感染設(shè)備在200w,每日新增活躍1w-2w之間。李豐沛說,把這個(gè)木馬病毒和 Mirai 區(qū)分開的因素有三個(gè):  傳播方式不同:Mirai 最初主要掃描“23”端口,HTTP81主要在“81”端口上掃描。

你枯坐窗前,蹂躪著30塊的咖啡,你走在樹下,陽光曬得你心亂如麻。

是否有那么一瞬間,你突然覺得世界不對了。

一點(diǎn)兒都不對了。

只有你一個(gè)人站在原地,而背后,一張巨大的網(wǎng)正在形成它的肌理,正在注入血色,正在向你逼近。

你猛然回頭!

什么都沒有。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

  文 | 史中 雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))主筆(微信:Fungungun)

訪談對象 | 360 安全研究員李豐沛

僵尸網(wǎng)絡(luò)的新世界

你可能玩過“球球大作戰(zhàn)”或者“貪吃蛇大作戰(zhàn)”。

這些游戲像一幕幕戲劇,其中輪回著冰冷堅(jiān)硬的鐵律:

“在這里你我都不會(huì)傻到和對手講“道理”,因?yàn)槟愕膶?shí)力和個(gè)頭就是唯一的道理。”

在賽博世界,每個(gè)有血有肉的人都退化成為一個(gè) IP,甚至一串字符。隱匿在數(shù)字背后,弱肉強(qiáng)食的規(guī)則更為直白。現(xiàn)實(shí)世界的占山為王,在這里變成了抽絲結(jié)網(wǎng)。這個(gè)網(wǎng),就是僵尸網(wǎng)絡(luò)。

你的私人電腦、手機(jī)、ipad、硬件設(shè)備,在黑客眼里都只是一個(gè)“壯丁”。他們利用病毒木馬控制這些壯丁,誰手上控制的壯丁最多,誰就擁有最強(qiáng)大的“部隊(duì)”,可以在網(wǎng)絡(luò)世界里肆意殺伐,攻城略地。

簡單來說,利用惡意代碼控制互聯(lián)網(wǎng)上的設(shè)備,讓他們像僵尸一樣失去了原本的“意識(shí)”,這些僵尸網(wǎng)絡(luò)在C2端(也就是控制者)的命令下統(tǒng)一行動(dòng),就組成了僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的一個(gè)重要作用就是進(jìn)行 DDoS 攻擊,也就是發(fā)動(dòng)這些硬件對特定服務(wù)器同時(shí)發(fā)起訪問,造成對方網(wǎng)絡(luò)癱瘓,無法正常運(yùn)行。

李豐沛對雷鋒網(wǎng)宅客頻道說。

他是 360 網(wǎng)絡(luò)安全研究院的工程師。在 360,網(wǎng)絡(luò)安全研究院神秘而機(jī)要,掌握著由全球網(wǎng)絡(luò)數(shù)據(jù)組成的“世界地圖”。

你以為世界歲月靜好井井有條。但是從這張數(shù)據(jù)地圖里,可以看到僵尸網(wǎng)絡(luò)就盤繞在你身邊,它們甚至已經(jīng)爬進(jìn)你的家里,在角落閃爍著幽暗的燈光。

“僵尸軍團(tuán)”的是這樣蔓延的:

惡意僵尸程序會(huì)在全網(wǎng)進(jìn)行掃描,一旦發(fā)現(xiàn)有漏洞的設(shè)備(電腦、硬件等等),就馬上入侵控制,把它納入僵尸大軍麾下,再以新的僵尸設(shè)備為跳板,繼續(xù)感染其他設(shè)備。這像極了僵尸片中病毒的指數(shù)級擴(kuò)散模式。

這些僵尸大軍,少則有幾千臺(tái)設(shè)備,多則達(dá)到數(shù)百萬臺(tái)設(shè)備。實(shí)際上,你的設(shè)備很可能已經(jīng)被某個(gè)僵尸軍團(tuán)控制,參加了數(shù)次網(wǎng)絡(luò)世界中的火并,但你卻仍舊懵然無知。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

  網(wǎng)絡(luò)世界的“第一次世界大戰(zhàn)”:Mirai 和它的變種

傳統(tǒng)的僵尸網(wǎng)絡(luò)以控制 PC 或者服務(wù)器為主,但那已經(jīng)是上一個(gè)時(shí)代的產(chǎn)物了。新版的僵尸網(wǎng)絡(luò)盯上了一個(gè)新目標(biāo),那就是在很多人家角落里安靜的攝像頭。

不要小看這些攝像頭,全球的攝像頭總量加在一起已經(jīng)有數(shù)千萬臺(tái),而這個(gè)數(shù)據(jù)在幾年前還僅僅只有現(xiàn)在的一個(gè)零頭。攝像頭低調(diào)安靜,一般人不會(huì)去查看他們是否“健康”。但攝像頭同時(shí)又很強(qiáng)大,有著比一般硬件強(qiáng)大的處理能力和網(wǎng)絡(luò)帶寬(因?yàn)橐幚砗蜕蟼饕曨l數(shù)據(jù)),這正是進(jìn)行僵尸網(wǎng)絡(luò)攻擊最好的候選者。

我現(xiàn)在說的,并不是新鮮事。一場大戰(zhàn)已經(jīng)發(fā)生。

2016年,名為 Mirai 的病毒源代碼被他的制造者發(fā)布到了網(wǎng)上,這個(gè)病毒專門用于控制眾多品牌的攝像頭。被發(fā)布到網(wǎng)絡(luò)之后,各大安全廠商迅速查殺,但是這個(gè)病毒的代碼也迅速被各路黑客改寫,成為變種繼續(xù)在網(wǎng)絡(luò)中生存。

這像極了現(xiàn)實(shí)世界中我們和病毒的對抗。每當(dāng)一種新藥研制成功,就可以殺死大部分的病毒,但是總有以下部分存活下來,適應(yīng)了新的藥物,從而成為變種,更難被殺死。

黑客利用 Mirai 家族迅速控制了全球上百萬的攝像頭,但是在普通人眼里,一切都平靜得和以前一樣。直到10月的一個(gè)晚上,美國東海岸的大部分人發(fā)現(xiàn)自己連 Twitter 和 CNN 都沒有辦法登陸(我們從來都登不上去也沒有抱怨,美國人就是矯情),相關(guān)的部門才意識(shí)到,一個(gè)主要的 DNS 服務(wù)商,也就是網(wǎng)址解析服務(wù)正在被 Mirai 攻擊!

攻擊持續(xù)了數(shù)個(gè)小時(shí),黑客才選擇收手。這期間,美國經(jīng)濟(jì)最發(fā)達(dá)的東海岸地區(qū)處于網(wǎng)絡(luò)癱瘓狀態(tài),經(jīng)濟(jì)損失超過20億美元。這無異于針對美國的又一次“911”。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

  作為頂級安全研究員,李豐沛如此評價(jià)了這次網(wǎng)絡(luò)世界的“911”:

由于 Mirai 病毒的控制端是不斷變化的,而且經(jīng)過了深度的匿名,所以要調(diào)查出真兇成本很高。

但是這次攻擊在我看來非常愚蠢,從攻擊者角度看,他至少做錯(cuò)了三件事:

1、他攻擊了美國的 DNS 解析服務(wù),這會(huì)一次打倒很多網(wǎng)站,會(huì)引起巨大的公眾關(guān)注。

2、他攻擊的流量非常大,遠(yuǎn)超過打癱服務(wù)器的需要,這會(huì)引起政府的巨大重視。

3、他的攻擊時(shí)間點(diǎn)選擇了美國大選之前,這個(gè)時(shí)間相當(dāng)敏感,可能招致更多的部門去調(diào)查他。

因?yàn)閺牟《镜拇a來看,質(zhì)量非常高,很多地方設(shè)計(jì)精巧,可以知道作者是一個(gè)很聰明的人,但這次攻擊造成美國大斷網(wǎng)的行為卻非常愚蠢。所以我懷疑他的僵尸網(wǎng)絡(luò)出租給了他人使用。

然而,即使是這樣,這場網(wǎng)絡(luò)世界最新的世界大戰(zhàn)依然沒有結(jié)論。至今美國人甚至連當(dāng)時(shí)的對手是誰都沒有確定(如果不是美國秘而不宣的話)。

這就是由攝像頭組成的 IoT 設(shè)備僵尸網(wǎng)絡(luò)的可怖之處。

“第二次世界大戰(zhàn)”還會(huì)降臨:重新集結(jié)的攝像頭

然而,我們身邊的噩夢還遠(yuǎn)遠(yuǎn)沒有結(jié)束。

2016年的僵尸網(wǎng)絡(luò)世界大戰(zhàn),更像一次意外,或者是示威。僵尸網(wǎng)絡(luò)的正確用法和雇傭軍類似,黑客收錢,替金主攻擊敵人。這些攻擊可能是某家金融機(jī)構(gòu)攻擊競爭對手,也可能是某些游戲私服攻擊另一隊(duì)私服。它們往往都是在地下涌動(dòng),被攻擊者不愿聲張,而攻擊者也不愿暴露。

Mirai 造成美國大斷網(wǎng)之后,被黑客控制的攝像頭數(shù)量不僅沒有下降,反而呈指數(shù)上漲。有人通過在線設(shè)備檢索平臺(tái) Shodan 和知道創(chuàng)宇的網(wǎng)絡(luò)空間探測平臺(tái) ZoomEye,估算其中可能被 Mirai 感染的攝像頭已經(jīng)在2000萬到3000萬之間。

根據(jù) 360 網(wǎng)絡(luò)安全研究院對外發(fā)布的探測數(shù)據(jù),可以確定捕捉到的被感染設(shè)備在200w,每日新增活躍1w-2w之間。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

▲截至2017年5月10日,累計(jì)監(jiān)測到被 Mirai 感染的僵尸設(shè)備活躍數(shù)量已經(jīng)達(dá)到了將近250萬臺(tái),數(shù)據(jù)來自 360 網(wǎng)絡(luò)安全研究院信息發(fā)布平臺(tái) http://data.netlab.360.com

目前我們所探測到的 Marai 和變種所控制的設(shè)備,單一控制端就可以打出 1Tbps 的 DDoS 攻擊(每秒1T流量),這比人類歷史上已公開的最大攻擊——去年 CDN 服務(wù)巨頭 Akamai 曾遭遇 620G左右 DDoS 攻擊——還要大得多。

李豐沛說出這個(gè)讓人憂心的現(xiàn)狀。

但這還不是黑暗力量的全部。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

廣袤的網(wǎng)絡(luò)海洋中滋生出更多“怪獸”,一個(gè)名為“Hajime”的木馬,和 Mirai 一樣,這種木馬也在沒日沒夜地侵襲網(wǎng)絡(luò)空間中的攝像頭。然而讓全世界都難以理解的是:在整個(gè) Hajime 木馬中,卻沒有一行攻擊代碼。

它恰恰像我們體內(nèi)95%的 DNA 一樣,不參與遺傳,不表達(dá)特征,它們的存在就像一種寄生,它的迅猛侵襲讓人看不清動(dòng)機(jī)卻又無比恐懼。

目前,Hajime 在全網(wǎng)的體量已經(jīng)僅次于 Mirai,成為一個(gè)“隱形的巨人”,就像房間里的大象,人們都知道它的存在,卻經(jīng)常忽略它的影響。李豐沛說:

卡巴斯基最先報(bào)告了 Hajime,如今它在規(guī)模上已經(jīng)大體和 Mirai 成為同一級別。它的感染量巨大,雖然沒有攻擊代碼,但在傳播的過程中都有可能造成網(wǎng)絡(luò)災(zāi)難。另外,今天它沒有攻擊代碼,并不代表它永遠(yuǎn)人畜無害,因?yàn)楹诳蛯λ鼡碛型暾?Root 權(quán)限,是可以隨時(shí)升級成為進(jìn)攻武器的。

讓人驚奇的是,Mirai 和 Hajime 這兩支網(wǎng)絡(luò)世界最大的軍團(tuán)在每一臺(tái)攝像頭里都進(jìn)行著白熱化的爭斗。

一旦一個(gè)病毒成功入侵了攝像頭,拿到最高的 Root 權(quán)限,就會(huì)采取“堵門”策略,其他的病毒都無法進(jìn)入。

一旦一個(gè)病毒入侵?jǐn)z像頭之后,由于種種程序錯(cuò)誤不能拿到最高權(quán)限,后面進(jìn)來的對手就會(huì)把它踢掉,再后來的對手又會(huì)把上一任踢掉。如此循環(huán)。

很多用戶的攝像頭不僅已經(jīng)不屬于他們自己,反而成了病毒之間火并的戰(zhàn)場。

李豐沛說。

Mirai 和 Hajime 的混戰(zhàn)如火如荼,研究員卻突然發(fā)現(xiàn)有一支新的木馬正在崛起。一開始他們以為這又是一支新的 Mirai 變種,但是,這支病毒迅速占領(lǐng)全球很多攝像頭,并且持續(xù)對外發(fā)出掃描動(dòng)作,短時(shí)間內(nèi)就爬到了監(jiān)控?cái)?shù)據(jù)榜的前十位。這個(gè)勢頭讓李豐沛和同事不得不重視。

本文作者史中(微信:Fungungun),雷鋒網(wǎng)主筆,希望用簡單的語言解釋科技的一切。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

  神秘的第三位巨頭:HTTP81

HTTP81 浮出水面。

“HTTP81”是李豐沛和團(tuán)隊(duì)為這個(gè)木馬的命名。在2017年4月,團(tuán)隊(duì)觀測到了這個(gè)木馬。之所以叫 HTTP81,是因?yàn)檫@個(gè)木馬不斷掃描網(wǎng)絡(luò)設(shè)備的“81”端口,這和 Mirai 掃描的“23”端口顯著不同。李豐沛說,把這個(gè)木馬病毒和 Mirai 區(qū)分開的因素有三個(gè):

傳播方式不同:Mirai 最初主要掃描“23”端口,HTTP81主要在“81”端口上掃描。利用了和所有 Mirai 家族都不一樣的漏洞。

通信方式:在通信協(xié)議方面,HTTP81采用了不同于 Mirai 全新的“自主研發(fā)”通信協(xié)議。

攻擊方試:Mirai 最有特征的攻擊方法是 JRE 和 STOMP 攻擊,而 HTTP81 實(shí)現(xiàn)了全新的攻擊方試。

李豐沛覺得,HTTP81 的作者也是個(gè)聰明人,整體代碼質(zhì)量不錯(cuò),是安全研究員的強(qiáng)勁對手。當(dāng)他把這個(gè)病毒報(bào)告給注明病毒平臺(tái) VirusTotal 的時(shí)候,進(jìn)駐的57家安全廠商已經(jīng)有7家發(fā)現(xiàn)了這個(gè)問題,不過,這7家都是國外廠商,并且有一些并沒有意識(shí)到這個(gè)病毒的可怕性,只是把它當(dāng)做簡單的 Mirai 變種來處理。

可怕的事情還是發(fā)生了。

迅速感染了4-5w臺(tái)設(shè)備之后,HTTP81 儼然成為了 IoT 僵尸網(wǎng)絡(luò)的第三名,雖然離前兩位還差兩個(gè)數(shù)量級別。在2017年4月23日,HTTP81 發(fā)起了第一次進(jìn)攻。目標(biāo)是俄羅斯的一家銀行。這讓李豐沛和同事們感覺到更重的責(zé)任。由于這個(gè)病毒的攻擊域名地處伊朗,并且對域名信息做了嚴(yán)密的隱私保護(hù),所以遠(yuǎn)在中國的安全研究員對抗它的最好方式就是——把這個(gè)病毒的技術(shù)細(xì)節(jié)公布于眾。

就在首次攻擊發(fā)生的第二天,360 選擇在網(wǎng)絡(luò)安全研究院的博客上發(fā)布了對這個(gè)木馬的研究報(bào)告,把它的攻擊方法進(jìn)行了曝光。就在報(bào)告發(fā)出的一天之后,HTTP81突然把控制端解析到了一個(gè)內(nèi)網(wǎng)網(wǎng)段,并且在48小時(shí)之內(nèi)停止了對外的掃描擴(kuò)張。

這種立竿見影讓作為安全研究員的李豐沛覺得非常鼓舞。但他知道,這一切只能拖慢黑客的步伐。因?yàn)?HTTP81 的控制者顯然只是選擇了蟄伏,未來某一天只要他重新修改控制端口的數(shù)據(jù),就可以立刻讓僵尸復(fù)活。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

▲根據(jù) 360 的報(bào)告,由于數(shù)據(jù)的地緣性限制,看到“HTTP81”被感染設(shè)備的分布主要限定在中國大陸地區(qū)。具體位置分布如上圖(此圖僅為示意,南海部分領(lǐng)海未顯示在內(nèi))。

而在李豐沛的數(shù)據(jù)地圖上,擁有 100-1000 個(gè)設(shè)備的僵尸網(wǎng)絡(luò),每天都會(huì)新增幾十個(gè)。對于這些僵尸網(wǎng)絡(luò)的追蹤,要耗費(fèi)巨大的成本,作為安全企業(yè),難以以一己之力斬草除根。

不死的僵尸網(wǎng)絡(luò)

不久前,國外安全公司賽門鐵克發(fā)布報(bào)告,里面有一個(gè)震驚的結(jié)論:一個(gè)物聯(lián)網(wǎng)設(shè)備在接入互聯(lián)網(wǎng)2分鐘之后就會(huì)被僵尸網(wǎng)絡(luò)控制。這就是智能設(shè)備的安全現(xiàn)狀。

這些攝像頭、路由器等物聯(lián)網(wǎng)設(shè)備的安全狀況處在極其“坑爹”的狀態(tài),很多設(shè)備都使用了“admin”或者“root”這樣的通用密碼,并且一大部分還把密碼寫死在了硬件里,沒辦法更改。至于這些硬件的系統(tǒng),大多更是沒有任何加固,也沒有升級更新的機(jī)制。對于很多黑客來說,搞定他們只需要?jiǎng)觿?dòng)小手指。

根據(jù) Gartner 的預(yù)計(jì),到2020年,全球的物聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)到200億臺(tái)。難以想象 200 億臺(tái)設(shè)備被黑客控制,將是怎樣可怕的場景。

李豐沛說,追蹤 HTTP81 的設(shè)備,最終會(huì)追溯到某白牌攝像頭生產(chǎn)企業(yè),位于中國。實(shí)際上目前很多攝像頭的生產(chǎn)企業(yè)都位于智能硬件制造業(yè)發(fā)達(dá)的中國,但受制于成本和意識(shí),很多企業(yè)并沒有安全意識(shí)。

這就像PC時(shí)代的歷史一樣。PC 系統(tǒng)歷經(jīng)10年才有了今天的安全意識(shí),才有了對于白帽子和漏洞的獎(jiǎng)勵(lì)機(jī)制,才有了各大安全廠商的 SRC,而智能硬件在短短幾年就從零發(fā)展到了幾千萬臺(tái)。廠商具備安全意識(shí)的過程也許不會(huì)有10年那么長,但是我們?nèi)匀灰却?/p>

實(shí)際上,即使是以法律制度健全著稱的美國,在去年發(fā)生大斷網(wǎng)事件以后,國土安全部才發(fā)布了 IoT 相關(guān)的策略性文章,政府在此指導(dǎo)下的具體規(guī)則,還在制定當(dāng)中。也許在正義的力量集結(jié)之前,你和我還要在僵尸網(wǎng)絡(luò)的籠罩下繼續(xù)等待。

陽光猛烈,歲月靜好,遠(yuǎn)方的大壩正在出現(xiàn)裂痕。

你猛然駐足。

本文作者史中(微信:Fungungun),雷鋒網(wǎng)主筆,希望用簡單的語言解釋科技的一切。

僵尸網(wǎng)絡(luò)新世界:攝像頭的背叛和戰(zhàn)爭

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號