還記得一年前讓美國大面積網絡癱瘓的“黑色星期五”么,當時的美國正沉浸在兩位總統(tǒng)候選人的精彩辯論賽中,一覺起來, Twitter、亞馬遜、PayPal 等熱門網站就“群體抽風”無法登陸了。事后確認,造成美國這次大面積斷網的主要原因是美國域名解析服務提供商Dyn公司受到強力DDoS攻擊,而攻擊流量來源之一是感染了Mirai僵尸的攝像頭設備。這是第一次大規(guī)模的物聯(lián)網設備組成的僵尸網絡發(fā)起的DDoS攻擊,然而攻擊并沒有停下來……
今年8月,綠盟科技DDoS態(tài)勢感知平臺監(jiān)控到某客戶的網絡帶寬流量存在異常,經分析確認,這是一次有預謀的DDoS攻擊。通過對攻擊源IP進行溯源分析,綠盟科技發(fā)現(xiàn)本次攻擊依然利用了物聯(lián)網設備,不同于美國斷網,這次的攻擊對象居然是機頂盒,沒錯,就是我們幾乎每天都在看的有線電視機頂盒!
這次的惡意軟件被叫做Rowdy。
進一步取證分析后發(fā)現(xiàn),Rowdy的bot上線方式竟然與造成美國網絡癱瘓的Mirai相同, DDos攻擊代碼也基本一致?;谶@些特征,可以確定,Rowdy樣本是Mirai物聯(lián)網惡意軟件的變種,雖然入侵方式同樣是破解物聯(lián)網設備弱口令,但這一次,Rowdy偽裝得更好,不僅采用加殼措施進行自我保護,還采用一定的算法隱藏控制服務器地址。
另據綠盟科技威脅情報中心(NTI)發(fā)布的《2017上半年DDoS與Web應用攻擊態(tài)勢報告》,曾指出,2016下半年開始火遍全球的Mirai,依舊活躍,新變種在不斷拓展能力,加入了比特幣挖掘組件。這一次,Mirai惡意軟件經過改造后,實現(xiàn)了從攝像頭等視頻監(jiān)控系統(tǒng)向機頂盒物聯(lián)網設備的跨越,這無疑大幅度擴展了其傳播范圍。
綠盟科技專家對Rowdy物聯(lián)網惡意軟件的傳播進行了跟蹤分析后還發(fā)現(xiàn),Rowdy在短短數(shù)月時間已經形成了規(guī)模不小的Bot僵尸網絡,感染的設備涉及國內5家廠商,但是,國內的機頂盒使用量有多大呢?
據國家統(tǒng)計局2月份發(fā)布的《中華人民共和國2016年國民經濟和社會發(fā)展統(tǒng)計公報》顯示,機頂盒設備實際用戶到達2.23億戶,同時據奧維云網《2017年中OTT運營大數(shù)據藍皮書》顯示,機頂盒設備實際用戶達到2.4億臺。機頂盒如此龐大的網絡,一旦被Rowdy快速滲透,后果不堪設想。
綠盟科技專家指出,Rowdy僵尸網絡所控制的機頂盒數(shù)量如果達到一定量級,它所發(fā)動的DDoS攻擊能量將遠超Mirai僵尸網絡,毫無疑問將對互聯(lián)網服務造成重大破壞。
傳播機制
Rowdy僵尸通過自動化掃描方式傳播感染,構成整個僵尸網絡。首先,會對目標設備進行掃描,利用內置用戶名/口令字典,嘗試登錄Telnet服務。然后,便通過設備的busybox工具下載并執(zhí)行惡意病毒程序。
Rowdy樣本支持多個平臺,包括x86、ARM、MIPS。僵尸網絡能發(fā)動多種DDoS攻擊類型,包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。組成僵尸網絡的設備均為上網出口設備,因此該僵尸網絡具備發(fā)起大規(guī)模、大流量DDOS攻擊的能力。
影響范圍
在跟蹤調查中還發(fā)現(xiàn),Rowdy-Bot僵尸網絡已經開始向外發(fā)起DDoS攻擊,國內受控制僵尸主機已達2000多臺,東南部沿海地區(qū)是重災區(qū)。
在綠盟威脅情報中心NTI通過對Rowdy僵尸網絡的C&C控制服務器溯源發(fā)現(xiàn),IP地址位置位于荷蘭阿姆斯特丹,而其控制的僵尸主機卻全部在國內。
通過對歷史數(shù)據回溯,可以看到,從8月初到9月初,近一個月內,隨著被感染的設備增加,僵尸網絡逐漸擴大,8月20日峰值達到2700多臺,而隨著后續(xù)僵尸網絡調查深入和清理,僵尸網絡又迅速收斂,擴散速度得到有效抑制,被感染設備數(shù)量開始下降。
應對措施
為了防止Rowdy樣本在網絡中持續(xù)擴散造成影響,以及僵尸網絡對外發(fā)起DDoS攻擊消耗業(yè)務帶寬,綠盟科技建議盡快對本地網絡終端的Rowdy僵尸主機進行檢測和清理,并修改設備口令。一旦遭受攻擊,可以通過部署本地或者云端的抗拒絕服務系統(tǒng)進行流量清洗。
此外,綠盟科技DDoS防護專家指出有效防護DDoS攻擊需要考慮以下三部分,并根據實際攻擊場景進行組合:
雖然Rowdy僵尸網絡被遏制了,但是類似的物聯(lián)網僵尸網絡一定會再次出現(xiàn)。物聯(lián)網設備,包括攝像頭、路由器、智能電視、機頂盒、智能家居和可穿戴設備,只要接入互聯(lián)網,就有可能成為攻擊者的潛在目標。攻擊者會利用存在漏洞的物聯(lián)網設備,尤其是缺省弱口令的設備,組成龐大的僵尸網絡,為其發(fā)動大規(guī)模DDoS攻擊做準備,威脅互聯(lián)網安全。
所以,使用物聯(lián)網設備的同志們啊,為了不讓你家的智能設備淪為“肉雞”,一定要改密碼!