10月22日淩晨,美國域名伺服器管理服務供應商dyn稱其公司遭遇了ddos(分布式拒絕服務)攻擊,包括twitter、tumblr、netflix、亞馬遜、shopify、reddit、airbnb、paypal和yelp等諸多網站無一幸免。
10月24日,安全部落格 security affairs 上釋出了一篇日志内容,宣稱 rsa 曾在10月初公布了一項新發現:黑客曾在黑市中宣傳由其控制的、由龐大數量的 iot 裝置組成的僵屍網絡,其大緻售價根據所購買的裝置數量相關聯,其中50000個售價4600美元,100000個售價7500美元。
10月24日,國内電子産品廠商雄邁表示在上周五美國發生的大規模網絡攻擊中,其産品無意中成為黑客“幫兇”;其産品中與預設密碼強度不高有關的安全缺陷,是引發上周五美國大規模網際網路攻擊的部分原因。
白帽彙的安全研究人員給雷鋒網(公衆号:雷鋒網)提供的後續研究報告認為,這與安全研究人員的發現相吻合:被稱作mirai 的物聯網僵屍網絡病毒一直在利用雄邁産品中的缺陷,在其中注入惡意代碼,并利用它們發動大規模分布式拒絕服務攻擊,其中包括上周五的攻擊。除此以外,物聯網僵屍網絡病毒“mirai”還曾經制造過多起ddos 攻擊事件,包括在上月參與發起了針對 krebonsecurity 安全站點的大規模分布式ddos攻擊,流量達到1t;而 ovh 營運商也曾遭到同樣手段的攻擊。
以下内容均出自白帽彙的研究報告。
這是一款基于linux的elf類型木馬,主要針對iot裝置,其中包含但不限于網絡攝像頭,路由器等。它可以高效掃描物聯網系統裝置,感染采用出廠密碼設定或弱密碼加密的脆弱物聯網裝置。被病毒感染後,該裝置成為僵屍網絡機器人并可在黑客指令下發動高強度僵屍網絡攻擊。
mirai主要由loader、cnc控制器、bot服務端構成。loader主要用于建立服務端程式和狀态監控;服務端程式包含了連接配接控制端、ddos攻擊、下載下傳并運作檔案功能。并且,服務端實作了反調試,近程隐藏,殺死系統程序,并建立相應端口的功能。ddos攻擊支援udp、vse(valve source engine specific flood)、dns、syn、ack、stomp、gre ip flood、gre ethernet flood、http等洪水攻擊方式。傳播方式主要依靠爆破ssh和telnet弱密碼。其中,包含了60餘組使用者名和密碼的字典,掃描端口主要為23和2323。
此次受影響的範圍涉及超過60餘萬台裝置。
(此圖引用自360網絡研究院,如有侵權請聯系删除)
目前,根據白帽彙安全實驗室和廣大白帽子貢獻的fofa檢索規則,統計出共有1100萬攝像頭和路由器暴漏在公網(當然這還不包括全部)。在此次受影響的裝置中,國内的雄邁和大華,中興存在很多。在top10的統計中就有雄邁和中興。
前十裝置排名(紅色為此次受影響裝置)
排名前五的網站地理位置分布(top 5)
huaweihomegateway_global
plesk
海康威視(ww)
mikrotik
雄邁
1、若果開啟了telnet服務,請關閉telnet服務.
2、如果沒有使用tcp/48101端口,請禁用。這樣可以免受進一步的損害。
3、修改初始密碼以及弱密碼,加強密碼安全。
4.mirai清除
進入系統後如發現帶有如下字元串的程序請結束并删除掉:
./{長字母字元串} alphabet
/dev/.{something}/dvrhelper
參考來源
http://blog.nsfocus.net/mirai-source-analysis-report/
http://www.toutiao.com/a6344836010480746753
http://bobao.360.cn/news/detail/3677.html
http://securityaffairs.co/wordpress/52657/iot/lot-botnet-sale.html
https://www.easyaq.com/newsdetail/id/359897463.shtml
http://data.netlab.360.com/mirai-scanner
https://github.com/jgamblin/mirai-source-code http://data.netlab.360.com/feeds/mirai-scanner/scanner.list
白帽彙對雷鋒網表示,後續會持續跟蹤此次事件。