Mirai和IoT僵尸网络(IoTBotnets)

2020-06-21 11:40:46

纪柯凌

现在IoT(internet of things)--物联网非常的热,所谓万物互联。 借助基础设施建设和底层支持技术的提升,物联网的建设也如火如荼。 其实我们已经不知不觉开始使用物联网技术了。我们家里的电视机、 家用摄像头、甚至冰箱、咖啡机等,只要是所谓的智能家电、可以联网、 有相对以前的家电更加“智能”的功能,都可以算是物联网的一员。


IoT带给我们各种好处的同时,也很快的成为黑客的热点。IoT设备是绝佳的肉鸡资源:

1、数量足够多。

2、 IoT的设备单体虽然性能有限,但是量大,可以集中利用起来,整合所有的算力。(也是所谓的雾计算) 

3、IoT设备一般为了降低功耗,操作系统都不支持太多安全特性,可能就是一个busybox运行某个单一功能。

4、IoT设备一般都是大量使用了默认的出厂弱口令,不太会修改密码(成本和意识问题)

所以黑客非常容易使用一些恶意程序去扫描整个互联网,利用一些暴力破解手段,尝试黑掉IoT设备。并且进行控制。

这里第一个进入公众视线中的,利用IoT攻击的IoT僵尸网络,就是大名鼎鼎的Mirai。(源自日语中的未来)


由Mirai控制的僵尸网络大军,对美国最大的DNS供应商Dyn发起了大量的DDoS攻击,造成DNS瘫痪。让facebook,aws等大站全部瘫痪。一战成名。


Mirai僵尸网络大军目前有150K以上的被控设备,可以发起超过1.2Tbps的流量。主要的感染僵尸都是一些家用电器,IP摄像头等。Mirai在2016年最早被白帽组织MalwareMustDie发现,后来由anna-senpai(日语:安娜前辈,来自一个动漫,黑客很喜欢日本动漫啊)公开了源码。并且说明,mirai的名字源自一个日本动漫--未来日记。  后来因为源码的公开,各种变种层出不穷。


通过对Mirai的分析可知,这是一种类似蠕虫的恶意软件,有60多个厂家的默认密码,攻击方式非常简单,就是telnet暴力破解。 mirai会扫描全互联网,尝试telnet登录,一旦登录成功,就会通知report server下载恶意脚本,一旦脚本在肉鸡中运行,会自行删除磁盘中的代码,防止泄露。(所以重启是会让恶意代码消失,但是只要密码不修改,还是会很快被渗透)


另外mirai也很聪明,为了保证肉鸡的唯一性,他还会清楚其他恶意bot程序,独占肉鸡,并且mirai不会对一些

“不招惹”list进行扫描(主要是各种国家机关)


Mirai的攻击类型有很多,可以发起网络层和应用层攻击。

网络层主要是:UDP、TCP和GRE类攻击。

应用层主要是:DNS、HTTP和Krebes OVH攻击。 其中DNS类攻击可以发起random domain的水牢攻击。



由于mirai 僵尸网络的庞大,黑客可以利用这些资源做对外的攻击服务,就像公有云一样运维着僵尸肉鸡资源。给不同的租户分配不同的攻击流量和攻击类型并借此收取比特币作为报酬。 而且僵尸网络攻击的特点是精准和高效,不断变换攻击矢量的手段也让传统的DDoS防护变的难以应对。


面对这种新时代的攻击手段,安全产品的机器人对抗能力就变的非常重要。 并且安全产品的资源池化能力,基于流量模型甚至AI的防护等手段都从以前的锦上添花变成了必须的手段。 F5 AWAF、SSLO架构和Shape AI等解决方案都可以有效的应对这些攻击。 后续会陆续介绍,欢迎持续关注:)


发布评论 加入社群

发布评论

相关文章

机器人对抗的常用手段介绍

纪柯凌

2020-06-21 14:38:25 200

Login

手机号
验证码
© 2019 F5 Networks, Inc. 版权所有。京ICP备16013763号-1