技術分析:智能硬件蠕蟲威脅互聯(lián)網安全
責編:admin |2014-12-31 13:12:01引用:
前日起(12月10日)全球互聯(lián)網范圍DNS流量異常。云堤團隊(DamDDoS)迅速參與分析處置。本次事件攻擊自12月10日凌晨起至今仍在持續(xù),為近年來持續(xù)時間最長的DNS DDoS攻擊,目前已監(jiān)測到的攻擊最大流量近1億Qps(約合76.38Gbps)
跟蹤:
12月10日,DNS異常故障時期,360網絡攻防實驗室的小伙伴也在跟進此問題。之前定位到*.arkhamnetwork.org; *.arkhamnetwork.com(針對某游戲服務提供商的權威域名服務器進行攻擊,最后服務商解析內容fraud.ddos.go.away,投降)360的遞歸DNS緩存被攻擊的流量大概30000QPS,使用的攻擊方法是:通過發(fā)起對隨機前綴域名查詢的解析請求造成對遞歸服務拒絕服務。
下圖是根據(jù)360大數(shù)據(jù)安全分析可視化平臺發(fā)現(xiàn)一臺BOT終端解析域名的情況,這個攻擊特征非常明顯,而且攻擊方法也非常粗暴。
通過下面這張圖片分析到遭受拒絕服務攻擊的不止*.arkhamnetwork.org; *.arkhamnetwork.com,這兩個根域名。其主要的兩個DNS服務器是ns11.dnsmadeeasy.com和ns12.dnsmadeeasy.com,其中有很多臺類似IP:167.114.25.179這樣的bot發(fā)起了很多針對*.arkhamnetwork.org的DNS拒絕服務攻擊請求。造成兩臺nameserver拒絕服務。
深入分析,這些IP地址大多數(shù)都是路由器、智能攝像頭等設備。起初攻擊者是通過這些遠程命令執(zhí)行,或者弱口令等方式獲得系統(tǒng)權限。然后植入蠕蟲程序,腳本運行后這個蠕蟲的網絡活動是在不斷的掃描任意C段的23號端口,利用弱口令去抓更多智能硬件設備,擴大點數(shù)產生更大的攻擊流量。
通過網絡活動定位到調用網絡活動的進程文件如下,該蠕蟲程序會生成很多新的進程文件,進程文件中會包含此進程所執(zhí)行的指令。
蠕蟲程序在執(zhí)行后會在指定目錄下生成隨機文件名的惡意代碼,并在運行后自刪除。
有幸的是,找到了一些沒有刪除的惡意樣本。于是乎就把程序download下來分析。
首先判斷這些惡意文件是ELF可執(zhí)行文件,并不是什么腳本一類的。
我們在IDA下對樣本文件進行靜態(tài)分析,能夠看到該蠕蟲程序的一些任務指令,以及C2服務器的地址。還有一些是C2服務器IP地址顯示這臺智能硬件的狀態(tài)。目前分析到SLEEP,Dildos這兩個狀態(tài)。
根據(jù)逆向分析后得到的關鍵信息發(fā)現(xiàn)該智能硬件蠕蟲狀態(tài)的進一步證據(jù),下圖顯示的是該智能硬件處于Sleeping狀態(tài)。
當進入Sleeping狀態(tài)時,這個終端只與C2服務器(23.227.173.210)連接,不執(zhí)行任何掃描感染任務,也不進行DOS攻擊任務。
通過對這個智能硬件的程序分析總結一下智能硬件的蠕蟲感染的途徑,首先是由攻擊者利用智能硬件漏洞獲得root權限,執(zhí)行蠕蟲代碼。C2服務器就等待智能硬件上線,隨后在默認的情況下感染蠕蟲的智能硬件是會自動掃描發(fā)現(xiàn)其它的智能硬件,并自動化利用漏洞讓目標感染蠕蟲程序。控制程序還有一個狀態(tài)就是Sleeping,這個狀態(tài)就是保持與C2服務器的連接。等待下發(fā)指令,當前不做任何網絡活動。最后就是發(fā)起攻擊的時候就是dildos狀態(tài)。根據(jù)目前靜態(tài)分析的結果有這樣幾個狀態(tài),不排除今后會有變種會有更多的狀態(tài)。
危害
根據(jù)云堤的數(shù)據(jù),12月10日,已監(jiān)測到的攻擊最大流量近1億Qps,(約合76.38Gbps)結合國外的一些消息大概此次發(fā)起攻擊的消息,是使用了1000多個終端發(fā)起的攻擊。這個數(shù)字已經很可怕了,如果有10000個這樣的智能硬件受到感染發(fā)起攻擊,那么流量將會達到700G左右。更何況現(xiàn)在的智能攝像頭,路由器的漏洞、智能插座層出不窮,未來出貨量也是成倍增長。那么當智能硬件達到一個量級時,由于其自身安全問題會給互聯(lián)網造成很大的安全威脅的。實際上這就是將網絡戰(zhàn)場延伸到智能硬件這個領域。
防范措施
這類惡意程序的防范方法很難,由于大多數(shù)都是駐留在智能硬件固件系統(tǒng)中,固件不具備查殺惡意程序所依賴的環(huán)境,徹底查殺起來非常難。而且很多用戶在進行初次配置完成后就不會管這些設備了,這也增加了查殺的難度。
1.對于用戶修改自己智能攝像頭、路由器等硬件的默認密碼。關注官方發(fā)布的更新程序。
2.對于廠商來講,需要加強固件的安全審計,對智能硬件進行測評,保障智能硬件不存在信息安全問題,才可以供貨。并關注國內外對智能硬件進行安全測試結果和漏洞。有新漏洞出現(xiàn)時需及時打補丁。
3.對于相關部門、運營商、安全公司,應該對這些BOT進行全方位的監(jiān)控,如果BOT發(fā)起大量的異常攻擊從運營商層面進行流量清洗。對BOT惡意版本的變化進行定期的取樣和分析。研發(fā)相關查殺腳本。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網絡與信息法治建設回顧