安天透过北美DDOS事件解读IOT设备安全

2016-10-25 21:12:00 作者:安天 分类 : 比特网

  概述

  安天安全研究与应急处理中心在北京时间10月22日下午启动高等级分析流程,针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件进行了跟进分析。安天团队分析认为,此事件有一定的政治因素背景,涉及到IoT(Internet of Things,物联网)设备安全等多种因素,在表象的DDoS攻击和DNS安全之外,依然有很多值得关注和研究的问题。

  事件相关背景如下:美国当地时间2016年10月21日,为美国众多公司提供域名解析网络服务的Dyn公司遭DDoS攻击。Dyn公司在当天早上确认,其位于美国东海岸的DNS基础设施所遭受DDoS攻击来自全球范围,严重影响其DNS服务客户业务,甚至导致客户网站无法访问。该攻击事件一直持续到当地时间13点45分左右。该公司在官网表示将追查此事,并将发布事件的分析报告。

  图1‑1Dyn官方确认

  图1‑2官网事件状态更新情况

  本次Dyn遭到攻击影响到的厂商服务包括:Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify、Intercom,据称PayPal、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报等的网站访问也遭到了影响。Dyn公司称此次DDoS攻击事件涉及IP数量达到千万量级,其中很大部分来自物联网和智能设备,并认为攻击来自名为“Mirai”的恶意代码

  黑客组织NewWorldHackers和Anonymous宣称对此事件负责,此事件被认为是用以抗议正在厄瓜多尔驻英国大使馆避难的维基解密创始人阿桑奇遭遇断网的事件。

  名词解释:DNS服务器,是进行域名和与之相对应的IP地址转换的服务器。DNS中保存了一张域名和与之相对应的IP地址的表,以解析消息的域名。根据解析结果进行目标站点访问。若DNS服务器遭受DDos攻击,则无法正常解析域名,故用户无法访问对应目标站点。

  安天对智能设备僵尸网络的捕获分析情况

  目前,依托IoT设备的僵尸网络的规模不断增长,典型的IoTDDoS僵尸网络家族包括2013年出现的CCTV系列、肉鸡MM系列(ChiekenMM,数字系列10771、10991、25000、36000)、BillGates、Mayday、PNScan、gafgyt等众多基于Linux的跨平台DDoS僵尸网络家族,安天对这些木马的规范命名如下。

  家族名称

  变种数量

  样本HASH数量

  Trojan[DDoS]/Linux.Mirai

  2

  大于100

  Trojan[DDoS]/Linux.Xarcen

  5

  大于1000

  Trojan[DDoS]/Linux.Znaich

  3

  大于500

  Trojan/Linux.PNScan

  2

  大于50

  Trojan[Backdoor]/Linux.Mayday

  11

  大于1000

  Trojan[DDoS]/Linux.DnsAmp

  5

  大于500

  Trojan[Backdoor]/Linux.Ganiw

  5

  大于3000

  Trojan[Backdoor]/Linux.Dofloo

  5

  大于2000

  Trojan[Backdoor]/Linux.Gafgyt

  28

  大于8000

  Trojan[Backdoor]/Linux.Tsunami

  71

  大于1000

  Worm/Linux.Moose

  1

  大于10

  Worm[Net]/Linux.Darlloz

  3

  大于10

  其中在本次事件中被广泛关注的Mirai的主要感染对象是物联网设备,包括:路由器、网络摄像头、DVR设备。从事DDoS网络犯罪组织早在2013年开始就将抓取僵尸主机的目标由Windows转向Linux,并从x86架构的Linux服务器设备扩展到以嵌入式Linux操作系统为主的IoT设备。

  Mirai日语的意思是“未来”,研究人员将新变种命名为“Hajime”,日语的意思是“起点”。

  安天捕获并分析了大量关于智能设备、路由器的恶意样本,并配合主管部门对对部分设备进行了现场取证。这些设备主要是MIPS、ARM等架构,因存在默认密码、弱密码、严重漏洞未及时修复等因素,导致被攻击者植入木马。由于物联网设备的大规模批量生产、批量部署,在很多应用场景中,集成商、运维人员能力不足,导致设备中有很大比例使用默认密码、漏洞得不到及时修复。包括Mirai等针对物联网设备DDoS入侵主要通过telnet端口进行流行密码档暴力破解,或默认密码登陆,如果登陆成功,通过telnet登陆成功后就尝试利用busybox等嵌入式必备的工具进行wget下载DDoS功能的bot,修改可执行属性,运行控制物联网设备。由于CPU指令架构的不同,在判断了系统架构后一些僵尸网络可以选择MIPS、arm、x86等架构的样本进行下载。运行后接收相关攻击指令进行攻击。

  从一个Mirai的样本里面可以看到如下的弱密码:

  root

  admin

  user

  login

  guest

  support

  oracle

  netman

  operator

  Administrator

  cisco

  telnet

  device

  tech

  netgear

  toor

  oracle

  netgear1

  changeme

  vizxv

  7ujMko0vizxv

  juantech

  realtek

  xmhdipc

  hi3518

  Zte521

  zlxx

  supervisor

  smcadmin

  system

  dreambox

  meinsm

  ubnt

  klv123

  anko

  xc3511

  1234

  maxided

  12345

  123456

  default

  pass

  vagrant

  klv1234

  jvbzd

  7ujMko0admin

  ikwb

  password

  安天在此前跟进IoT僵尸网络跟踪分析过程中,发现如下包括DVR、网络摄像头、智能路由器的品牌中有部分型号存在单一默认密码问题。

  图2‑1部分型号存在默认密码的设备品牌

  Mirai Botnet的相关源代码于2016年9月30日被一名ID为『Anna-senpai』的用户发布在hackerforums论坛。该用户声称,代码出于『让用户增加对安全工业的重视程度』的目的而发布。在代码被公布后,相关技术立刻被运用到其他的恶意软件项目中。在2016年10月4日,这份代码被上传到github上并很快被fork逾千次。

  安天CERT对10月4日上传到github上的Mirai源码进行了相应分析,梳理了其代码结构:

说明: C:\Users\gxb\Desktop\20161023_美国 DYN遭受DDOS攻击\Mirai分析.png

  图2‑2Mirai源码目录结构分析

  泄露出的Mirai事件相关源码主要包括两部分:

  (1) loader:加载器,其中存放了针对各个平台编译后的可执行文件,用于加载Mirai的实际攻击程序。

  (2) Mirai:用于实施攻击的程序,分为bot(被控制端,使用C语言编写)和cnc(控制端,使用Go语言编写)两部分。

  被控制端具有以下模块

  模块文件名

  模块作用

  attack.c

  用于攻击的模块,所调用的攻击子模块在其他attack_xxx.c中定义。

  checksum.c

  用于计算校验码的模块。

  killer.c

  用于结束进程的模块。

  main.c

  主模块。用于调用其他子模块。

  rand.c

  用于生成随机数的模块。

  resolv.c

  用于解析域名的模块。

  scanner.c

  用于扫描的模块,可以扫描网络上可被攻击(如使用弱口令)的设备。

  table.c

  用于存放经过加密的域名数据的模块。

  util.c

  用于提供一些实用工具的模块。

  类似的“开源”行为提供了极坏的示范性,会进一步降低其他攻击者危害IoT设备的成本。鉴于此,本文不对代码进行解读。

  安天对IoT僵尸网络的监测情况

  安天的态势感知与监控预警系统可以对僵尸网络的样本传输、上线控制、攻击指令进行持续监控。除了Mirai相关事件外,我们也可以看到IoT僵尸网络对其他目标的攻击事件。

  攻击起始开始时间

  样本家族(原厂命名)

  攻击目标

  攻击类型

  2016-10-22 9:36:48

  Mayday家族

  203.195.*.*:15000

  广州腾讯

  tcp flood

  2016-10-20 8:12:57

  DDoS家族

  www.52***.com XX阁

  2016-10-20 1:36:20

  DDoS家族

  www.ssh***.com/user.php

  深圳XXXXXX公司

  2016-10-918:52:35

  Billgates家族

  121.199.*.*

  杭州XX云

  2016-9-5 10:57:00

  Billgates家族

  59.151.*.*

  北京XX通

  表:典型的IoT僵尸网络攻击事件

  2014年之前使用Linux系统的IoT设备被植入恶意代码主要通过扫描弱密码。但在破壳漏洞(CVE-2014-6271)出现后,互联网上也出现了大量利用该漏洞进行扫描植入恶意代码事件。根据当时安天蜜罐系统捕获的情况来看,破壳漏洞出现后,针对Linux主机入侵的事件呈现全面上升趋势。安天发现的首例通过破壳漏洞实际感染的事件是在2014年9月份。而后安天CERT陆续发了多篇IoT设备上的恶意代码分析报告如:《利用路由器传播的DYREZA家族变种分析》、《黑客用HFS搭建服务器来传播恶意代码》,另有一篇《Trojan[DDOS]/Linux. Znaich分析报告》当时并未公开,因此作为本报告附件。而其他少数具备获取主机权限的漏洞也发现被攻击者利用。

  分析小组的一点思考

  安天分析小组认为,IoT僵尸网络的快速蔓延来自如下因素的组合:

  1、 随着小到智能家居、大到智慧城市的物联网蓬勃发展,在线IoT设备数量大幅增加;

  2、 随着作为主流桌面操作系统的Windows的内存安全(如DEP、ASLR、SEHOP)等方面的能力不断强化,依托远程开放端口击穿Windows变得日趋困难,但对于普遍没有经过严格的安全设计的IoT设备的远程注入的成功率则高的多。

  3、 IoT设备自身多数未嵌入安全机制,同时其又多半不在传统的IT网络之内,等于游离于安全感知能力之外,一旦遇到问题有的也不能有效响应。

  4、 IoT设备往往更多24小时在线,其是比桌面Windows更“稳定”的攻击源。

  两年前,安天论述了“威胁将随‘互联网+’向纵深领域扩散与泛化”的观点[8],并使用泛化(Malware/Other)一词来说明安全威胁向智能设备等新领域的演进,而正如我们所担心的那样,安全威胁在智能汽车、智能家居、智能穿戴,大到智慧城市中已经无所不在。

  图4‑1网络安全威胁泛化与分布图(引自安天2015年网络威胁年报[8])

  正因为此,这次针对DynDNS服务的大规模DDoS事件中,安天更重视其中暴露的IoT安全问题。尽管DNS的确被很多人认为是互联网的阿喀琉斯之踵。但我们同样不要忘记,互联网是依托IP地址联通的,而域名是为便于人记忆的原因而产生的。对于北美大型行业用户来说,其更多广泛采用VPN和IP地址链接,其基本系统运转并不依赖DNS的解析。也正因为此,如此大流量的DDoS,尽管给网民访问网站带来一段阶段的不便,但其并不足以冲击北美社会运行和互联网的根基。从这个意义上看,这个事件的热度,更多来自媒体对公众感觉的放大,而其实际影响则相对有限。而更危险的行为是有针对性的、有放大效应的针对重要节点的威胁行动,特别是能够产生实体空间后果的威胁。

  毫无疑问DNS体系是信息基础设施,但IoT僵尸网络绝不仅仅是这起攻击事件的道具。物联网就是物物相连的互联网,是未来信息社会重要基础支撑环节之一。物联网的是在互联网基础上延伸和扩展的网络,物联网并不仅仅是网络,它还可以利用感知技术、信息传感等技术的嵌入式传感器、设备及系统构建成复杂的涉及实体社会空间的应用,这些应用所在的设备很多都是维系民生的重要节点的关键基础设施设备,甚至包括关键工控设施的基础传感器。被入侵的这些设备本身具有更多的资源纵深价值,这比使用这些设备参与DDoS攻击所带来的危险更为严重。其大面积的脆弱性存在,有着更为隐蔽、危害更大的社会安全风险和国家安全风险。只是这种风险,更不容易被感知到罢了。

  把公众影响力作为衡量网络安全事件的主要度量衡,是大规模蠕虫爆发时代的惯性。但在安全威胁日趋变得更加定向而隐蔽的时候,如果我们只关注容易看见的威胁,就必然会放过更危险的敌人。克劳赛维茨说:“几乎所有的战局,间歇和平静的时间远远多于行动的时间。”对于安全工作者来说,还有什么比毫无先兆的平静更令人恐惧的呢?

  加强IoT设备的安全防护,提高攻击入侵IoT设备的成本,以及加强IoT设备的安全威胁监测预警,是安天已经在进行的工作,就像我们在过去十年让安天AVL SDK引擎运行于数万台防火墙和数亿部手机中一样。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。