當前位置:首頁 >  科技 >  IT業(yè)界 >  正文

物聯(lián)網(wǎng)遭遇僵尸網(wǎng)絡(luò)一觸即潰 | 青天科技技術(shù)大牛給你支招

 2017-11-02 09:40  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

概述

道高一尺魔高一丈,進化是惡意軟件的一個組成部分,因為攻擊者往往需要比白帽黑客提前一步來逃避檢測。

雖然IoT惡意軟件是從基于弱密碼的簡單攻擊開始,比如說Mirai,但是隨著惡意軟件技術(shù)的不斷發(fā)展,目前已可以采取更多戰(zhàn)略方法,如跨平臺漏洞攻擊大量設(shè)備。

默認的密碼攻擊已經(jīng)是開(白)源(菜)技術(shù)了,隨著近期對物聯(lián)網(wǎng)威脅的研究發(fā)現(xiàn),許多政府企業(yè)和消費者已經(jīng)開始使用更復雜的密碼,從而迫使攻擊者采取不同的手段進行攻擊。

IoT威脅空間最近出現(xiàn)一個名為IoTroop的新僵尸網(wǎng)絡(luò),它使用漏洞而不是弱密碼來入侵設(shè)備。劃重點,敲黑板。

IoTroop攻擊的手段利用了CVE-2017-8225,這是一個許多網(wǎng)絡(luò)攝像頭制造商使用的定制GoAhead嵌入式服務(wù)器相關(guān)的漏洞。

在這個博客中,我們將討論“MDLC”,這個高大上的詞兒意思是:惡意軟件開發(fā)生命周期,以及跟蹤POC如何被共享信息和資源的各類攻擊者武器化和使用。

與Shodan集成的攻擊腳本

我們觀察到一個攻擊者聲稱他具有與CVE-2017-8225攻擊相關(guān)的腳本以及該腳本的截圖。暗網(wǎng)中黑客論壇風云際會既視感有沒有。

攻擊者在論壇中提供了兩個腳本,第一個腳本使用Shodan查詢來dump所有受CVE-2017-8225漏洞影響設(shè)備的IP地址,這使用了一個GoAhead漏洞相關(guān) 的已知Shodan緩存結(jié)果。

現(xiàn)在一旦收集到所有易受攻擊的IP,第二個腳本將使用CVE-2017-8225來dump這些設(shè)備的憑據(jù)。這種組合將幫助業(yè)余黑客可以控制各種IoT設(shè)備,而不用擔心兩個重要問題:目標在哪里?怎么攻進去?

Netcat的反彈Shell

當一個攻擊者詢問這次攻擊形成的僵尸網(wǎng)絡(luò)的狀態(tài)時,作者回答說他需要一個VPS,他可以通過VPS來使用netcat。 一旦這樣做,很容易形成僵尸網(wǎng)絡(luò)。

在我們解剖的IoTroop感染的設(shè)備中,我們確實觀察到反向shell的netcat命令的存在。這也與Check Point的發(fā)現(xiàn)一致,所以我們猜測這個攻擊者和IoTroop作者的想法是一致的。

攻擊者合作

但腳本中存在一個小問題。為了使設(shè)置正常工作,攻擊者需要訪問Shodan Premium這個物聯(lián)網(wǎng)搜索引擎大殺器。 我們注意到這個腳本的作者跪求Shodan的登錄信息,并聲稱如果他可以訪問Shodan Premium,他將為任何目的建立僵尸網(wǎng)絡(luò)。

不久之后,我們觀察到一名用戶同意與攻擊者分享他的Shodan密碼,這將有助于用戶形成僵尸網(wǎng)絡(luò)。

在這里,這個話題沉默了,沒有問題,沒有更新。他倆是不是私聊我們不知道,我們只知道,風暴之前的大海,安靜的可怕。

CVE-2017-8225漏洞的利用代碼已經(jīng)由安全研究人員發(fā)布。 然而武器化版本的易用性和與Shodan的集成使得業(yè)余黑客更容易獲得對大規(guī)模設(shè)備的控制。這才是要點好不好?所以后來有人在論壇打臉,說他只是復制原始漏洞利用報告中的大部分代碼的時候,攻擊者也大咧咧的認了。

我們還觀察到,有一部分攻擊者已經(jīng)在使用這些腳本向現(xiàn)有的僵尸網(wǎng)絡(luò)添加更多的物聯(lián)網(wǎng)設(shè)備。這個世界永遠不缺起哄架秧子的,黑客的世界也不例外。

結(jié)論

雖然找到與攻擊有關(guān)的確切組合挺爽的,但是物聯(lián)網(wǎng)安全(或任何形式的網(wǎng)絡(luò)安全)的更大的問題是,如果有一種已知的方法來成功攻擊設(shè)備,設(shè)備被攻擊只是一個時間問題。

自從有了CVE-2017-8225漏洞,易受攻擊的大量設(shè)備在Shodan中是裸奔的,只能等待受到攻擊,目前沒有任何安全或補丁,他們現(xiàn)在很容易成為IoTroop僵尸網(wǎng)絡(luò)的一部分。畢竟老話說的好,不怕黑客黑你,就怕黑客惦記。

NewSky Security IoT Halo主動提供CVE-2017-8225攻擊嘗試的檢測。技術(shù)咨詢:info@newskysecurity.com

NewSky Security 首席研究員Ankit Anubhav

原文請參考如下鏈接:

1:

2:

3:

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
行尸走肉

相關(guān)文章

  • 檢測僵尸粉軟件有毒?如何恢復微信聊天記錄

    如何恢復微信聊天記錄?微信以它操作簡單、保密性強等特點成為了社交軟件蒂花之秀。在微信中一直有個長盛不衰的風:清除僵尸粉。好久不見的老同學突然發(fā)消息,點開一看原來是清除僵尸粉

  • 智能電視怎么看行尸走肉第八季最新集,當貝市場教你方法!

    《行尸走肉8》在智能電視上怎么看,當貝市場用戶可用以下方法操作收看哦。美劇《行尸走肉》系列自開播以來便風靡全球,作為國內(nèi)粉絲狂愛的喪尸題材劇,《行尸走肉》已播至第八季。那么不少美劇迷要問了,這部熱劇在電視上怎么追呢?要知道現(xiàn)在因政策所致,海外劇在全網(wǎng)的播放資源都少了許多,如何才能收看到最新熟肉番,一

    標簽:
    行尸走肉

  • 僵尸軍團持續(xù)擴充 惡意軟件Mirai變種影響分析

    自從Mirai物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒開源之后,其在全世界不斷留下新的“犯案”記錄,先是美國大范圍斷網(wǎng),不久之后新加坡也上演了幾乎同樣的劇情,Mirai僵尸網(wǎng)絡(luò)所到之處無不“網(wǎng)癱”。上個月底,“僵尸大軍”又讓德國幾乎處于了同樣的尷尬境地……為何Mirai會如此瘋狂?美國斷網(wǎng)事件影響面不得不提的是,在互聯(lián)網(wǎng)

    標簽:
    行尸走肉
加載更多

熱門排行

信息推薦