4.4.2 近年典型僵尸网络攻击事件分析

1.Mirai僵尸网络

2016年,美国域名解析服务提供商Dyn公司遭到了峰值达1.1Tbps的DDoS攻击,造成了美国东部大面积的网络瘫痪,包括Twitter、Facebook在内的多家美国网站无法通过域名访问。而造成半个美国互联网瘫痪的罪魁祸首,则是Mirai僵尸网络控制下的数以10万计的物联网设备。Mirai恶意程序通过扫描物联网设备,尝试默认通用密码进行登录操作,一旦成功即将这台物联网设备作为“肉鸡”纳入僵尸网络中,进而操控其攻击其他网络设备。

同年,德国电信也遭遇了一次大范围的网络故障。在这次故障中,2000万固定网络用户中的大约90万个路由器发生故障(约4.5%),并由此导致大面积网络访问受限。很多媒体给出了网络受限的示意图,如图4-18所示。

图4-18 德国电信遭遇Mirai攻击

德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上,并且互联网上正在发生针对性的攻击而导致。德国电信连夜与设备供应商生成了新的升级包,并且要求客户如果怀疑受到影响就断电重启路由器,之后利用自动/手动的升级过程来解决问题。德国电信还采取了一系列的过滤措施来保证升级过程不受攻击影响。

2.Leet僵尸网络

IMPERVA最新的《全球DDoS威胁态势季度报告》中披露,随着网络层攻击规模的加大,应用层安全事件发生频率也上升了。2016年第4季度IMPERVA缓解的最大型DDoS攻击,规模为650Gbps(见图4-19),是依托Leet僵尸网络发起的(之前的第3季度中,阿卡迈处理了类似的攻击,是Mirai僵尸网络驱动的)。2016年最后3个月还见证了该年度最持久的网络层攻击——持续了29天。

图4-19 Leet僵尸网络发起的DDoS攻击

3.Amnesia僵尸网络

Amnesia僵尸网络利用了未修补的远程代码执行漏洞,这个漏洞一年多之前由安全研究员Rotem Kerner发现。Amnesia僵尸网络目标是嵌入式系统,尤其是中国的某厂商生产的DVR(数字视频录像机),目前,该公司名下有70多个品牌的产品销往世界各地。

2016年3月,Kerner将其发现的漏洞上报了DVR厂商,但是未得到任何回应,一年后,他决定公布漏洞细节。

根据Palo Alto Networks(PAN)研究人员的相关分析,Amnesia是Tsunami僵尸网络的变种,Tsunami作为一种下载程序/IRC僵尸程序后门,被网络犯罪分子利用来发动DDoS攻击。

根据PAN的网络扫描结果,上述漏洞仍未修补,全球大约有22.7万DVR设备受此漏洞影响(见图4-20)。

图4-20 Amnesia僵尸网络

Amnesia僵尸网络利用的是远程代码执行漏洞,攻击者可利用该漏洞完全控制设备。

专家认为,由于采用逃避技术,Amnesia僵尸网络极为复杂。恶意软件研究人员认为Amnesia僵尸网络是第一款采用虚拟机逃避技术来逃避恶意软件分析沙箱的Linux物联网恶意软件。

4.Brickerbot僵尸网络

2017年,Radware研究人员发现了一种新的僵尸网络。这种僵尸网络和Mirai僵尸网络有诸多相似之处,被命名为Brickerbot。Mirai僵尸网络和Brickerbot的主要区别在于,后者的恶意软件可对配置不当的物联网设备造成永久性破坏。Radware公司为进行恶意软件分析而部署了蜜罐,Brickerbot对其发起攻击,进而被发现。通过部署有针对性的蜜罐服务器发现检测到来自全球1895个IP的BrickerBot攻击尝试(见图4-21),而且还发现了333次通过Tor的网络攻击尝试。

Brickerbot僵尸网络通过Telnet暴力攻击物联网设备。Mirai僵尸网络也曾采用此技术。Bricker很难分析,因为它并不下载二进制,这意味着Radware专家无法检索恶意软件暴力使用的完整凭据清单。恶意软件研究人员只能观察到第一次登录的用户名/密码是root/vizxv。专家解释说,恶意软件针对的是运行在BusyBox上、基于Linux的物联网设备。这些设备Telnet端口都是开放的,并且暴露在互联网上。DDoS攻击源于有限数量的IP地址。被攻击设备都是端口为22和运行老版本Dropbear SSH服务的设备。大部分被僵尸网络攻击的设备被Shodan识别为Ubiquiti。恶意代码首先获得对设备的访问,然后通过rm–rf/*命令擦除设备内存,禁用TCP时间戳,并将内核线程的最大数量限制为一个。

Brickerbot恶意软件刷新所有iptables防火墙和NAT规则(见图4-22),并添加一条规则来删除所有传出的数据包。Brickerbot试图擦除受影响物联网设备上的所有代码,使其不可用。

图4-21 Brickerbot僵尸网络

图4-22 Brickerbot恶意软件刷新所有iptables防火墙和NAT规则