Mirai attacks explained in 100 seconds
物聯網(IoT)僵屍網路作者正在適應更安全的物聯網設備的轉變,這已經將攻擊者的注意力轉移到利用物聯網設備的漏洞上。由於物聯網設備安全性仍處於起步階段,因此發現命令注入等基本漏洞並不少見。
2018 年 11 月,NetScout的Asert 團隊成員,透過部署蜜罐觀察到幾個舊的物聯網漏洞,被用以傳遞惡意軟體。研究數據顯示,新型物聯網設備,遭受針對已知漏洞的攻擊,需要不到一天的時間,而使用默認憑據(進入蜜罐)強行登錄,只需要不到 5 分鐘的時間。
主要發現
除了通常的強制路由之外,物聯網僵屍網路作者,越來越多地將對物聯網相關漏洞的利用,添加到他們的武器庫中。在某些情況下,攻擊者會透過嘗試利用已知漏洞,為強行攻擊做後援。
由於修補物聯網設備更新固件的節奏之慢,部分相關漏洞在較長時間內,都是有效的攻擊載體。
研究人員收集的數據顯示,從物聯網設備上線,到首次強攻開始,中間只需要不到 5 分鐘的時間。在 24 小時內,這些設備開始接收針對已知漏洞的攻擊嘗試。
使用基於物聯網的漏洞,已經幫助僵屍網路開發者,輕鬆地增加僵屍網路感染的設備數量。例如,許多 Mirai 變體中,就包括物聯網特定的漏洞。
根據研究人員的蜜罐數據,從漏洞公開到僵屍網路作者,將其整合到僵屍網路中的週轉速度很快,新舊物聯網相關漏洞混合在一起。
主要原因如下:首先,在購買之前,物聯網設備可以在貨架上放置數周。如果為設備發佈了安全更新,則在更新軟體之前,不會將其應用於這些設備,這會讓設備啓動時即易遭受攻擊,能被迅速利用。
蜜罐數據顯示,在有人掃描設備,並嘗試強力登錄之前,設備連接到互聯網只需幾分鐘。其次,物聯網設備接收補丁的速度令人憂心。這些設備一度被誤認為,在安全性方面的工作,可以「一勞永逸」。
主要原因如下:首先,在購買之前,物聯網設備可以在貨架上放置數周。如果為設備發佈了安全更新,則在更新軟體之前,不會將其應用於這些設備,這會讓設備啓動時即易遭受攻擊,能被迅速利用。
蜜罐數據顯示,在有人掃描設備,並嘗試強力登錄之前,設備連接到互聯網只需幾分鐘。其次,物聯網設備接收補丁的速度令人憂心。這些設備一度被誤認為,在安全性方面的工作,可以「一勞永逸」。
在 Hadoop YARN 請求的衝擊下,研究者發現了一些與物聯網相關的老漏洞。這些漏洞包括 CVE-2014-8361、CVE-2015-2051、CVE-2017-17215 和 CVE-2018-10561。圖1顯示了在 11 月試圖利用這些漏洞,攻擊部署蜜罐的來源數量。
圖1
圖2中的示例顯示了使用 CVE-2014-8361,來提供 Mirai 的 MIPS 變體。正如在下面重點顯示的有效負載中看到的,該漏洞使用「wget」下載僵屍程序的副本,並在易受攻擊的設備上執行它。CVE-2014-8361 於 2015 年 4 月公開披露,並已用於多個複雜物聯網僵屍網路,如 Satori和JenX。
圖2
圖3 是 CVE-2017-17215 的一個例子,它用於提供另一種 Mirai 變種。以類似的方式,可以看到濫用「wget」下載機器人,並在易受攻擊的設備上執行它。CVE-2017-17215 還被用於幾個高調的物聯網僵屍網路中。此漏洞於 2017年12月披露,並於 2017 年 12 月 25 日在 exploit-db 上發佈了概念驗證。
圖3
由於連接到網路的物聯網設備數量龐大,因此查找易受攻擊的設備非常便捷。當易受攻擊的設備被「打開」,並且應用安全漏洞的更新時,攻擊者可以快速收集大型僵屍網路。
在大多數情況下,這些僵屍網路立即被徵召入 DDoS 大軍中。正如我們在 2016 年透過 Mirai,進行的 DDoS 攻擊所看到的那樣,創建大型物聯網僵屍網路,並造成嚴重破壞,並不需要花費大量精力。未來我們將繼續看到,使用基於物聯網的漏洞的增加。
更新像 Mirai 這樣的僵屍網路源代碼,以利用這些漏洞的便利性起著重要作用。以最少的時間和資源,創建更大的僵屍網路的能力,就是我們看到物聯網僵屍網路,數量趨勢變化背後的原因。190181224
按此回今日3S Market新聞首頁
按此回今日3S Market新聞首頁
沒有留言:
張貼留言