一、小白劇場
小白:東哥,我最近看到了一條新聞“數十萬台無線裝置被僵屍網絡感染”,感覺有點怕怕的呢,東哥你有沒有了解此新聞啊?
大東:作為一名時刻關注網絡安全新聞時事的安全從業者,怎麼會沒有關注呢?
小白:那東哥能不能捋一下這件事情?
大東:當然可以。
小白:搬起小闆凳,快開始吧。
大東:一句話概括呢就是,IoT Inspector安全研究人員發現晶片廠商瑞昱(Realtek)使用的軟體SDK中存在嚴重漏洞,數十萬台無線裝置(涉及65家供應商)被僵屍網絡利用OEM廠家的漏洞感染。
小白:65家供應商呀?感覺好多。
大東:是的,Realtek提供的無線晶片幾乎被所有知名電子産品制造商使用,産品類别覆寫VoIP和無線路由器、中繼器、IP錄影機和智能照明控制等具備無線聯網功能的裝置。
小白:是以瑞昱使用的軟體SDK中存在嚴重漏洞,底下很多供應商的産品都會出問題。
大東:是呀,包括 AsusTEK(華碩)、Belkin(貝爾金)、D-Link、Edimax、Hama、Netgear(網件)等65家供應商,影響200種型号的數十萬台裝置。
小白:這個漏洞的影響力好大哦,它現在有被配置設定CVE号嗎?
大東:這個漏洞現在被配置設定了CVE-2021-35395的編号,還被配置設定了9.8/10的嚴重等級。我們現在可以在官方漏洞庫中查詢到此漏洞。
(圖檔來自網絡)
小白:可以可以,我一會可以看看官網文檔。那這個漏洞的披露過程東哥你知道嗎?
二、話說事件
大東:2021.05.17,IoT Inspector向 Realtek安全團隊詢問安全發送報告的方法。2021.08.13,Realtek釋出其公告,并釋出了易受攻擊的SDK的修補版本。2021.08.16,90天披露視窗結束,IoT Inspector釋出該漏洞及建議。
小白:哎呀,Realtek瑞昱釋出修補版本的時間僅比IoT Inspector釋出披露的時間早了三天,是以相關的裝置所有者隻有很短的時間來打更新檔。
大東:是的,在2021.08.18,該漏洞公開披露僅兩天後,黑客就開始發起了攻擊。
小白:那估計會影響什麼裝置呢?
大東:估計會影響許多暴露在網際網路上的無線裝置,從家庭網關和旅行路由器到Wi-Fi中繼器、IP錄影機和智能閃電網關或聯網玩具。
小白:有沒有具體型号什麼的?
大東:有的,據統計,該僵屍網絡針對的使用有缺陷的Realtek SDK的最常見裝置是 Netis E1+擴充器、Edimax N150和N300 Wi-Fi路由器以及Repotec RP-WR5444路由器,主要用于增強Wi-Fi接收。
小白:廠商和使用者應該要趕緊核實一下自己的裝置是否受影響,然後打相關的更新檔。
大東:對,這裡有部分廠家和受影響型号的截圖。
受影響廠商和型号(圖檔來自網絡)
小白:嗯嗯,我搞清楚這件事情了,不過,東哥,你能不能再順便講一下僵屍網絡啊?
大東:當然可以,我也準備借着此次事件來說一下僵屍網絡呢。
小白:好啊好啊。
大東:小白,你現在了解到的惡意代碼都有什麼呢?
小白:嗯,有病毒、蠕蟲、木馬等。
三、大話始末
大東:僵屍網絡是一種新的資訊安全威脅方式,它結合了病毒、木馬、蠕蟲技術。
小白:好可怕。那僵屍網絡豈不是結合各家所長?
大東:是的,僵屍網絡具備傳播性、高度可控、有竊密性、危害性高的特點。不過僵屍網絡最重要的特點是它的行為像僵屍一樣。
小白:這個怎麼講?
大東:僵屍網絡是指在控制者和被感染主機之間形成的一個可一對多控制的網絡,它采用一種或者幾種傳播手段,将大量主機感染僵屍程式病毒。
小白:就是攻擊者通過各種途徑傳播僵屍程式,并感染網際網路上的大量主機。
大東:沒錯,被感染的主機會通過控制信道接收攻擊者的指令,組成一個僵屍網絡。因為衆多被感染的計算機在不知不覺中被人驅趕和指揮,成為被人利用的一種工具,如同僵屍群一樣,是以被稱為僵屍網絡。
小白:哈哈,這個名稱還蠻形象的嘛。那僵屍網絡由什麼組成呢?
大東:如前所述, 典型的僵屍網絡由僵屍伺服器(通常是一台IRC伺服器)和一個或多個的僵屍用戶端組成的。
小白:用戶端的分布有局限嗎?
大東:沒有,正因為僵屍用戶端的分布不局限于某個國家或地區,是以對于追蹤溯源有一定的難度,很可能在追查過程中會涉及到國際協同調查及合作,相比遭受損失的企業、機構或個人而言,對僵屍網絡的調查驗證實在過于繁瑣,以至于很多情況下不得不終止調查。
小白:那從技術角度,僵屍網絡一般由什麼構成呢?
大東:從技術子產品大緻可分為三個子產品:掃描子產品、駐留子產品、功能子產品。
小白:它們分别的作用是什麼呢?
大東:掃描子產品用來掃描和傳播僵屍網絡病毒的,駐留子產品能夠隐匿駐留在目标系統中,功能子產品則在駐留子產品駐留之後執行僵屍牧人所設定的指令。從子產品構成來看也可以看做是病毒、木馬子產品相結合。
小白:僵屍網絡的危害是不是也是結合病毒、木馬等惡意軟體的?
大東:沒錯,但是除此之外,僵屍網絡也有不同于傳統病毒的危害。
小白:比如有什麼呢?
大東:比如說感染其他系統成為新的僵屍用戶端;DDos攻擊,利用大量的僵屍用戶端對同一系統/裝置發起攻擊;廣告點選欺騙,比如欺騙點公司的廣告賺取費用;發送垃圾郵件及網絡釣魚;存儲和配置設定非法(盜版)知識産權資料;勒索;根據已感染的僵屍用戶端進行資料挖掘(或包含鍵盤記錄功能),擷取用戶端系統有利用價值的資料;利用僵屍用戶端進行比特币挖礦。
小白:好多危害,不愧是病毒的結合體。
大東:而且如今的僵屍網絡技術也在不斷進步,除了之前使用IRC伺服器作為C&C,現在還有利用域名解析方式将域名作為C&C位址;利用基于Web系統的伺服器作為C&C位址并作為指令互動的方式;使用P2P網絡分散管理僵屍用戶端及C&C;基于即時消息工具的僵屍網絡;基于FTP的僵屍網絡C&C。
小白:了解了解,不過這些技術細節還是需要我之後再好好推敲推敲。
大東:好滴,小白你加油。
四、小白内心說
小白:東哥,這次的新聞是不是說明物聯網裝置也成為了僵屍網絡感染的新一代目标?
大東:随着物聯網的快速發展以及更加廣泛的應用,物聯網的網絡安全問題已經成為目前的一個研究熱點問題。曾有一份報告指出,物聯網裝置已經成為黑客的新一代目标,路由器則是黑客攻擊的首選目标。而且物聯網的惡意軟體主要通過其網絡安全漏洞傳播,DDoS攻擊也成為了物聯網惡意軟體的主流功能。
小白:因為現在有越來越多的物聯網裝置開始接入網際網路,冰箱、燈等物品也開始接入網際網路了。
大東:但是物聯網裝置相對其他裝置存在防護困難的問題,還有對對安全性的忽視,使得物聯網裝置裡的應用程式體異常脆弱,很容易被攻擊者發現漏洞并利用。
小白:估計人們很容易就遺忘它們的存在了。軟體倒是會經常更新版本。
大東:而且物聯網裝置存在裝置分散、責權不清,無法遠端更新等問題。
小白:好難啊。
大東:不止這樣,由于物聯網裝置的計算能力比較弱,對于攻擊的溯源難度提高。
小白:難上加難。
大東:Mirai僵屍網絡就是由大量可受控物聯網裝置組成的龐大網絡,它曾導緻美國大範圍網絡癱瘓。
小白:具體是什麼事件呢?
大東:Mirai僵屍網絡最早出現在2016年8月,它發起了針對Krebs的大規模DDoS攻擊。2016年10月21日,Mirai僵屍網絡導緻美國斷網。而這之後,Mirai連續發動了針對新加坡、賴比瑞亞、德國的DDoS攻擊。
小白:美國斷網是什麼情況呢?
大東:美國域名解析服務提供商Dyn公司遭到了嚴重的DDoS攻擊,造成了美國東部大面積的網絡癱瘓,包括Twitter、Facebook在内的多家美國網站無法通過域名通路。
小白:僵屍網絡這麼可怕,要怎麼預防呢?
大東:可以通過安全檢測來檢測是否收到了僵屍網絡的攻擊。基于異常的檢測、基于DNS流量的檢測還有基于蜜罐的檢測。
小白:哦哦,那物聯網該采取什麼樣的措施來防止感染呢?
大東:首先,仔細檢查所有連接配接到其網絡的物聯網裝置。其次,要更改預設密碼。還有確定連接配接到網上的每個裝置都在添加了最新的更新檔。
小白:好滴,感謝東哥,今天又獲得了很多知識。
參考資料:
1. 驚!數十萬台涉及65家無線裝置被僵屍網絡利用OEM廠家漏洞感染
https://mp.weixin.qq.com/s/4nlVqRe2drS5vFWxaARHmA
2. 僵屍網絡百度百科
https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E5%83%B5%E5%B0%B8/8190722
3. Mirai僵屍網絡
https://blog.csdn.net/zheng_zmy/article/details/106769690
來源:中國科學院資訊工程研究所