背景
最近發生了一系列由mirai僵屍網絡驅動的攻擊事件,包括此前的法國網站主機ovh遭攻擊(報道詳情)、dyn被黑導緻美國大半個網際網路癱瘓(報道詳情)等,事件也讓我們意識到ddos攻擊可能對全球網際網路帶來的影響。
專家調查發現,mirai僵屍網絡是由數萬台被感染的iot裝置組成,比如cctv和dvr等。
于是,errata security公司的ceo——robert graham,就向我們展示了mirai感染攝像頭的過程。他用推特記錄了這一過程。
感染過程
graham首先買了一台55美元的技德科技監控攝像頭。
這個攝像頭支援通用即插即用(upnp),該功能并不安全,但是不懂技術的使用者用起來就比較友善,因為upnp裝置基本上插上插頭就能用了。
graham随後用樹莓派做了一台無線路由,将攝像頭與自己的家用網絡隔離開來。
僅僅98秒的時間,graham的攝像頭就感染了惡意軟體。
而且實際情況是,這個攝像頭感染了好幾個惡意軟體——mirai并不是第一個到達現場的,而是“與之相似的其他惡意程式”。
随後,graham觀察了mirai的動作。結果發現,mirai利用telnet協定,使用61個通用的登入憑證,暴力破解裝置密碼,進而擷取攝像頭的通路權限。
“mirai通過telnet而非web,感染目标裝置。”
成功入侵目标iot裝置後,mirai就會下載下傳整個病毒。然後mirai開始高速發出syn包,尋找其他宿主。
某個瞬間,其中一個惡意軟體甚至關閉了telnet的守護程序,把graham踢下網。
第二天,graham寫了一個指令,來阻止mirai把使用者踢下網。
預防措施
如果你最近剁手時,剛好買了監控攝像頭,或者有人送了你一個,記得要正确設定哈,因為這個感染速度真心快。安全專家建議在iot裝置聯網前修改裝置的預設密碼,并且關閉不必要的服務。但是graham認為,如果裝置已經感染了mirai,改密碼這種方法并不适用。
graham表示,很多mirai密碼是沒法改的,是以緩解mirai感染的正确方法是“将這些裝置放在防火牆後”。
本文轉自d1net(轉載)