代码收藏家 物联网僵尸网络和DDoS攻击的CERT分析及解决方案
在攻击发生当天早上,Dyn 证实其位于东海岸的 DNS 基础设施遭受了来自世界各地的 DDoS 攻击。这些攻击严重影响了 Dyn 的 DNS 客户的业务,更糟糕的是,客户的网站变得无法访问。这些攻击一直持续到美国东部时间下午13:45。Dyn在其官方网站上表示,将追查此问题并发布事件报告。
受此次攻击影响的服务包括 Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify 和 Intercom。访问PayPal,BBC,华尔街日报,Xbox,CNN,HBO Now,星巴克,纽约时报,The Verge和金融时报等热门网站也受到影响。
对攻击的初步分析
作为回应,计算机应急响应小组 (CERT) 启动了高级分析流程,以跟进和分析 DDoS 攻击。根据CERT的分析,该事件涉及多种因素,尤其是物联网设备安全漏洞。除了表面上的DDoS攻击和DNS安全之外,还有很多其他问题值得更多关注和进一步研究。
Dyn表示,这次DDoS攻击涉及数千万个IP地址,其中大部分是物联网和智能设备。Dyn认为,这次攻击来自一个名为“Mirai”的恶意代码。黑客组织 NewWorldHackers 和 Anonymous 声称对这次攻击负责。
僵尸网络的 CERT 分析
依赖物联网设备的僵尸网络规模不断扩大。典型的物联网 DDoS 僵尸网络系列包括 2013 年出现的 CCTV 系列、ChiekenMM 系列(包括 10771、10991、25000 和 36000)以及基于 Linux 的跨平台 DDoS 僵尸网络系列(如 BillGates、Mayday、PNScan 和 Gafgyt)。CERT 已将这些特洛伊木马命名为:
| 家庭 | 变体数量 | 样品 HASH 数量 |
| 木马[DDoS]/Linux.Mirai | 2 | 大于 100 |
| 特洛伊木马[DDoS]/Linux.Xarcen | 5 | 大于 1000 |
| 特洛伊木马[DDoS]/Linux.Znaich | 3 | 大于 500 |
| 特洛伊木马/Linux.PNScan | 2 | 大于 50 |
| 木马[后门]/Linux.Mayday | 11 | 大于 1000 |
| 特洛伊木马[DDoS]/Linux.DnsAmp | 5 | 大于 500 |
| 特洛伊木马[后门]/Linux.Ganiw | 5 | 大于 3000 |
| 木马[后门]/Linux.Dofloo | 5 | 大于 2000 |
| 木马[后门]/Linux.Gafgyt | 28 | 大于 8000 |
| 特洛伊木马[后门]/Linux.Tsunami | 71 | 大于 1000 |
| 蠕虫/Linux.Moose | 1 | 大于 10 |
| 蠕虫 [Net]/Linux.Darlloz | 3 | 大于 10 |
在这次事件中,感染Mirai的主要受害者是物联网设备,包括路由器、网络摄像机和DVR。早在 2013 年,从事 DDoS 网络犯罪的组织就开始将捕获僵尸网络主机的目标从 Windows 转移到 Linux,从 x86 Linux 服务器转移到具有嵌入式 Linux 操作系统的物联网设备。Mirai在日语中是“未来”的意思。研发人员将新变种命名为“Hajime”,在日语中意为“开始”。
CERT捕获并分析了大量与智能设备和路由器相关的恶意样本,并与相关部门合作,从部分设备中收集了现场证据。这些设备主要采用MIPS和ARM架构,由于存在默认密码、弱密码、严重漏洞等因素,攻击者植入了木马,无法及时修复。由于物联网设备的大规模生产和部署,以及许多应用场景中集成商和运维人员的能力不足,导致很大一部分设备使用默认密码,漏洞无法及时修复。
攻击方式
域名系统 (DNS) 是在域名和相应 IP 地址之间进行转换的服务器。DNS存储域名和IP地址映射表,用于解析消息中的域名。目标网站根据解析结果获得访问量。如果DNS受到DDoS攻击,则无法正常解析域名,因此用户无法访问相关的目标网站。
在针对物联网设备的DDoS攻击(包括Mirai)中,攻击者通过Telnet端口对常用密码文件进行暴力破解,或者使用默认密码登录。如果攻击者通过 Telnet 成功登录,他们会尝试使用 BusyBox 和 wget 等必要的嵌入式工具来下载 DDoS 函数的机器人,修改可执行属性,并运行和控制物联网设备。由于CPU命令架构的差异,部分僵尸网络在确定系统架构后,可以选择MIPS、arm或x86架构的样例进行下载。运行这些示例后,僵尸网络会收到相关的攻击命令来发起攻击。
Mirai 示例中可以存在以下弱密码:
在之前对物联网僵尸网络的跟踪和分析中,CERT发现许多流行的设备,包括DVR、网络摄像机和智能路由器品牌都存在默认密码问题。
Mirai僵尸网络分析
Mirai僵尸网络的相关源代码于30年2016月4日由用户“Anna-senpai”在黑客论坛上发布。该用户声称,该代码的发布是为了鼓励用户更加关注安全行业。代码发布后,相关技术立即应用于其他恶意软件项目。2016 年 1000 月 <> 日,这段代码上传到 GitHub,并很快被分叉了 <> 多次。
CERT 分析了 4 年 2016 月 <> 日上传到 GitHub 的 Mirai 源代码,并整理了其代码结构:
泄露的Mirai源代码主要由两部分组成:
- 装载 机:加载程序存储为每个平台编译的可执行文件,并用于加载实际的Mirai攻击程序。
- 未来:Mirai是黑客用来实施攻击的程序。它由两部分组成:bot(受控端,使用 C 语言编译)和 cnc(控制端,使用 Go 语言编译)。
机器人端提供以下模块:
| 模块文件名 | 模块功能 |
| 攻击.c | 用于攻击。被调用的攻击子模块在其他 attack_xxx.c 文件中定义。 |
| 校验和.c | 计算校验和。 |
| 杀手.c | 结束进程。 |
| main.c | 主模块调用其他子模块。 |
| 兰德.c | 生成随机数。 |
| 解析.c | 解析域名。 |
| 扫描仪.c | 它可以扫描网络上可能受到攻击的设备,例如,通过使用弱密码。 |
| 表.c | 存储加密的域名数据。 |
| util.c | 提供一些实用工具。 |
类似的“开源”行为提供了极其糟糕的演示效果,并将进一步降低其他攻击者攻击物联网设备的成本。因此,本文不打算解释此代码。
CERT对物联网僵尸网络的监控
CERT的态势感知和监控系统可以持续监控僵尸网络的样本传输、在线控制和攻击命令。除了与Mirai相关的事件外,我们还发现了物联网僵尸网络对其他目标发起的攻击。
| 攻击开始时间和结束时间 | 样品系列(由原厂命名) | 攻击目标 | 攻击类型 |
| 2016-10-22 9:36:48 | 家庭五月天 | 203.195..:15000 广州腾讯 | TCP 泛洪 |
| 2016-10-20 8:12:57 | 家族 DDoS | www.52*.com XXX公司 | |
| 2016-10-20 1:36:20 | 家族 DDoS | www.ssh*.com/user.php 深圳XXX公司 | |
| 2016-10-9 18:52:35 | 家庭比尔盖茨 | 121.199..杭州XX云 | |
| 2016-9-5 10:57:00 | 家庭比尔盖茨 | 59.151..北京XX |
在 2014 年之前,经常扫描弱密码,在使用 Linux 系统的物联网设备上植入恶意代码。自 Shell Shock (CVE-2014-6271) 出现以来,该漏洞在互联网上普遍用于扫描和植入恶意代码。根据 CERT Beeswarm 系统捕获的信息,自 Shell Shock 出现以来,Linux 主机入侵事件的数量显着增加。
2014 年 <> 月,CERT 检测到的第一起 Shell Shock 感染事件发生。随后,CERT发布了多篇与物联网设备相关的恶意代码分析报告,如《使用路由器传播的DYREZA家族变异分析》和《黑客使用HFS搭建服务器和传播恶意代码》等。另一份报告,特洛伊木马 [DDOS]/Linux。Znaich分析报告当时尚未发布,现在附在本报告中。攻击者还利用了其他一些可以获取主机权限的漏洞。
CERT分析团队的意见
CERT分析团队认为,由于以下因素的综合作用,物联网僵尸网络传播迅速:
- 随着从智能家居到智慧城市等物联网的快速发展,在线物联网设备的数量正在大幅增加。
- Windows 是主流的桌面操作系统。随着 Windows 内存安全(如 DEP、ASLR、SEHOP)能力的不断增强,通过远程开放端口对 Windows 系统进行分解变得越来越困难。相比之下,如果没有严格的安全设计,恶意代码通过物联网设备注入,成功率要高得多。
- 大多数物联网设备没有嵌入任何安全机制,而且其中许多设备没有放置在传统的IT网络中。也就是说,它们超出了安全感知能力的控制范围。这些设备无法在问题发生时有效地做出响应。
- 物联网设备通常每天 24 小时在线,是比桌面 Windows 系统更稳定的攻击源。
CERT阐述了随着Internet Plus的发展,威胁将深入传播和泛化的观点,并使用“恶意软件/其他”一词来解释安全威胁向智能设备等新领域演进。正如我们所担心的那样,从智能汽车、智能家居、智能可穿戴设备到智慧城市,安全威胁无处不在。
因此,在这次针对 Dyn DNS 的大规模 DDoS 事件中,CERT 更加重视暴露出的物联网安全问题。虽然DNS经常被视为互联网的致命弱点,但我们不应忘记,互联网上的互通依赖于IP地址,而域名的产生只是为了方便用户的记忆。对于北美大型行业的大多数用户来说,VPN和IP地址被广泛用于连接,并且主要系统操作不依赖于DNS服务。因此,即使如此大流量的DDoS攻击给网民在一段时间内访问网站带来不便,也无法撼动北美社会运营和互联网基础。
设备安全在物联网中的重要性
毫无疑问,DNS是一个信息基础设施,但物联网僵尸网络不仅仅是发起这种攻击的工具。物联网是物联网,也是未来信息社会必不可少的支撑节点。物联网是基于互联网扩展和扩展的网络。它不仅仅是一个网络。物联网可以使用采用感知和信息传感技术的嵌入式传感器、设备和系统来构建涉及物理、社交空间的复杂应用程序。
放置这些应用的许多设备都是维持人们生活的关键节点上的必要基础设施设备,甚至是关键工业控制设施的基本传感器。入侵这些设备可提供更深入的资源值,并且比使用这些设备发起 DDoS 攻击更危险。物联网上大面积漏洞的存在带来了更多隐蔽和危险的社会安全风险和国家安全风险,只是很难察觉到这些类型的威胁。
将公众影响力作为评估网络安全事件影响的重要指标是很自然的。当安全威胁逐渐变得具有方向性和隐蔽性时,我们不应将注意力局限于易于识别的风险上。这样,就会释放出更危险的威胁。尽管 Dyn DDoS 攻击只影响了对网站的访问,但攻击背后的基本概念可以很容易地扩展到其他应用程序。
CERT一直在加强对物联网设备的安全防护,增加攻击或入侵物联网设备的成本,加强对物联网设备的安全威胁监测和告警。这与我们在过去十年中所做的工作类似,使 CERT AVL SDK 引擎能够在数以万计的防火墙和数十亿部手机上运行。
