當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

物聯(lián)網(wǎng)遭遇僵尸網(wǎng)絡(luò)一觸即潰 | 青天科技技術(shù)大牛給你支招

 2017-11-02 09:40  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

概述

道高一尺魔高一丈,進(jìn)化是惡意軟件的一個(gè)組成部分,因?yàn)楣粽咄枰劝酌焙诳吞崆耙徊絹硖颖軝z測(cè)。

雖然IoT惡意軟件是從基于弱密碼的簡(jiǎn)單攻擊開始,比如說Mirai,但是隨著惡意軟件技術(shù)的不斷發(fā)展,目前已可以采取更多戰(zhàn)略方法,如跨平臺(tái)漏洞攻擊大量設(shè)備。

默認(rèn)的密碼攻擊已經(jīng)是開(白)源(菜)技術(shù)了,隨著近期對(duì)物聯(lián)網(wǎng)威脅的研究發(fā)現(xiàn),許多政府企業(yè)和消費(fèi)者已經(jīng)開始使用更復(fù)雜的密碼,從而迫使攻擊者采取不同的手段進(jìn)行攻擊。

IoT威脅空間最近出現(xiàn)一個(gè)名為IoTroop的新僵尸網(wǎng)絡(luò),它使用漏洞而不是弱密碼來入侵設(shè)備。劃重點(diǎn),敲黑板。

IoTroop攻擊的手段利用了CVE-2017-8225,這是一個(gè)許多網(wǎng)絡(luò)攝像頭制造商使用的定制GoAhead嵌入式服務(wù)器相關(guān)的漏洞。

在這個(gè)博客中,我們將討論“MDLC”,這個(gè)高大上的詞兒意思是:惡意軟件開發(fā)生命周期,以及跟蹤POC如何被共享信息和資源的各類攻擊者武器化和使用。

與Shodan集成的攻擊腳本

我們觀察到一個(gè)攻擊者聲稱他具有與CVE-2017-8225攻擊相關(guān)的腳本以及該腳本的截圖。暗網(wǎng)中黑客論壇風(fēng)云際會(huì)既視感有沒有。

攻擊者在論壇中提供了兩個(gè)腳本,第一個(gè)腳本使用Shodan查詢來dump所有受CVE-2017-8225漏洞影響設(shè)備的IP地址,這使用了一個(gè)GoAhead漏洞相關(guān) 的已知Shodan緩存結(jié)果。

現(xiàn)在一旦收集到所有易受攻擊的IP,第二個(gè)腳本將使用CVE-2017-8225來dump這些設(shè)備的憑據(jù)。這種組合將幫助業(yè)余黑客可以控制各種IoT設(shè)備,而不用擔(dān)心兩個(gè)重要問題:目標(biāo)在哪里?怎么攻進(jìn)去?

Netcat的反彈Shell

當(dāng)一個(gè)攻擊者詢問這次攻擊形成的僵尸網(wǎng)絡(luò)的狀態(tài)時(shí),作者回答說他需要一個(gè)VPS,他可以通過VPS來使用netcat。 一旦這樣做,很容易形成僵尸網(wǎng)絡(luò)。

在我們解剖的IoTroop感染的設(shè)備中,我們確實(shí)觀察到反向shell的netcat命令的存在。這也與Check Point的發(fā)現(xiàn)一致,所以我們猜測(cè)這個(gè)攻擊者和IoTroop作者的想法是一致的。

攻擊者合作

但腳本中存在一個(gè)小問題。為了使設(shè)置正常工作,攻擊者需要訪問Shodan Premium這個(gè)物聯(lián)網(wǎng)搜索引擎大殺器。 我們注意到這個(gè)腳本的作者跪求Shodan的登錄信息,并聲稱如果他可以訪問Shodan Premium,他將為任何目的建立僵尸網(wǎng)絡(luò)。

不久之后,我們觀察到一名用戶同意與攻擊者分享他的Shodan密碼,這將有助于用戶形成僵尸網(wǎng)絡(luò)。

在這里,這個(gè)話題沉默了,沒有問題,沒有更新。他倆是不是私聊我們不知道,我們只知道,風(fēng)暴之前的大海,安靜的可怕。

CVE-2017-8225漏洞的利用代碼已經(jīng)由安全研究人員發(fā)布。 然而武器化版本的易用性和與Shodan的集成使得業(yè)余黑客更容易獲得對(duì)大規(guī)模設(shè)備的控制。這才是要點(diǎn)好不好?所以后來有人在論壇打臉,說他只是復(fù)制原始漏洞利用報(bào)告中的大部分代碼的時(shí)候,攻擊者也大咧咧的認(rèn)了。

我們還觀察到,有一部分攻擊者已經(jīng)在使用這些腳本向現(xiàn)有的僵尸網(wǎng)絡(luò)添加更多的物聯(lián)網(wǎng)設(shè)備。這個(gè)世界永遠(yuǎn)不缺起哄架秧子的,黑客的世界也不例外。

結(jié)論

雖然找到與攻擊有關(guān)的確切組合挺爽的,但是物聯(lián)網(wǎng)安全(或任何形式的網(wǎng)絡(luò)安全)的更大的問題是,如果有一種已知的方法來成功攻擊設(shè)備,設(shè)備被攻擊只是一個(gè)時(shí)間問題。

自從有了CVE-2017-8225漏洞,易受攻擊的大量設(shè)備在Shodan中是裸奔的,只能等待受到攻擊,目前沒有任何安全或補(bǔ)丁,他們現(xiàn)在很容易成為IoTroop僵尸網(wǎng)絡(luò)的一部分。畢竟老話說的好,不怕黑客黑你,就怕黑客惦記。

NewSky Security IoT Halo主動(dòng)提供CVE-2017-8225攻擊嘗試的檢測(cè)。技術(shù)咨詢:info@newskysecurity.com

NewSky Security 首席研究員Ankit Anubhav

原文請(qǐng)參考如下鏈接:

1:

2:

3:

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
行尸走肉

相關(guān)文章

  • 檢測(cè)僵尸粉軟件有毒?如何恢復(fù)微信聊天記錄

    如何恢復(fù)微信聊天記錄?微信以它操作簡(jiǎn)單、保密性強(qiáng)等特點(diǎn)成為了社交軟件蒂花之秀。在微信中一直有個(gè)長(zhǎng)盛不衰的風(fēng):清除僵尸粉。好久不見的老同學(xué)突然發(fā)消息,點(diǎn)開一看原來是清除僵尸粉

  • 智能電視怎么看行尸走肉第八季最新集,當(dāng)貝市場(chǎng)教你方法!

    《行尸走肉8》在智能電視上怎么看,當(dāng)貝市場(chǎng)用戶可用以下方法操作收看哦。美劇《行尸走肉》系列自開播以來便風(fēng)靡全球,作為國(guó)內(nèi)粉絲狂愛的喪尸題材劇,《行尸走肉》已播至第八季。那么不少美劇迷要問了,這部熱劇在電視上怎么追呢?要知道現(xiàn)在因政策所致,海外劇在全網(wǎng)的播放資源都少了許多,如何才能收看到最新熟肉番,一

    標(biāo)簽:
    行尸走肉

  • 僵尸軍團(tuán)持續(xù)擴(kuò)充 惡意軟件Mirai變種影響分析

    自從Mirai物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒開源之后,其在全世界不斷留下新的“犯案”記錄,先是美國(guó)大范圍斷網(wǎng),不久之后新加坡也上演了幾乎同樣的劇情,Mirai僵尸網(wǎng)絡(luò)所到之處無不“網(wǎng)癱”。上個(gè)月底,“僵尸大軍”又讓德國(guó)幾乎處于了同樣的尷尬境地……為何Mirai會(huì)如此瘋狂?美國(guó)斷網(wǎng)事件影響面不得不提的是,在互聯(lián)網(wǎng)

    標(biāo)簽:
    行尸走肉
加載更多

熱門排行

信息推薦