技术分析:智能硬件蠕虫威胁互联网安全


发布人:admin分类:网络安全浏览量:30发布时间:2017-12-12

引用:

前日起(12月10日)全球互联网范围DNS流量异常。云堤团队(DamDDoS)迅速参与分析处置。本次事件攻击自12月10日凌晨起至今仍在持续,为近年来持续时间最长的DNS DDoS攻击,目前已监测到的攻击最大流量近1亿Qps(约合76.38Gbps)

跟踪

12月10日,DNS异常故障时期,360网络攻防实验室的小伙伴也在跟进此问题。之前定位到*.arkhamnetwork.org; *.arkhamnetwork.com(针对某游戏服务提供商的权威域名服务器进行攻击,最后服务商解析内容fraud.ddos.go.away,投降)360的递归DNS缓存被攻击的流量大概30000QPS,使用的攻击方法是:通过发起对随机前缀域名查询的解析请求造成对递归服务拒绝服务。

下图是根据360大数据安全分析可视化平台发现一台BOT终端解析域名的情况,这个攻击特征非常明显,而且攻击方法也非常粗暴。

通过下面这张图片分析到遭受拒绝服务攻击的不止*.arkhamnetwork.org; *.arkhamnetwork.com,这两个根域名。其主要的两个DNS服务器是ns11.dnsmadeeasy.com和ns12.dnsmadeeasy.com,其中有很多台类似IP:167.114.25.179这样的bot发起了很多针对*.arkhamnetwork.org的DNS拒绝服务攻击请求。造成两台nameserver拒绝服务。

深入分析,这些IP地址大多数都是路由器、智能摄像头等设备。起初攻击者是通过这些远程命令执行,或者弱口令等方式获得系统权限。然后植入蠕虫程序,脚本运行后这个蠕虫的网络活动是在不断的扫描任意C段的23号端口,利用弱口令去抓更多智能硬件设备,扩大点数产生更大的攻击流量。

通过网络活动定位到调用网络活动的进程文件如下,该蠕虫程序会生成很多新的进程文件,进程文件中会包含此进程所执行的指令。

蠕虫程序在执行后会在指定目录下生成随机文件名的恶意代码,并在运行后自删除。 

有幸的是,找到了一些没有删除的恶意样本。于是乎就把程序download下来分析。

首先判断这些恶意文件是ELF可执行文件,并不是什么脚本一类的。

我们在IDA下对样本文件进行静态分析,能够看到该蠕虫程序的一些任务指令,以及C2服务器的地址。还有一些是C2服务器IP地址显示这台智能硬件的状态。目前分析到SLEEP,Dildos这两个状态。

根据逆向分析后得到的关键信息发现该智能硬件蠕虫状态的进一步证据,下图显示的是该智能硬件处于Sleeping状态。

当进入Sleeping状态时,这个终端只与C2服务器(23.227.173.210)连接,不执行任何扫描感染任务,也不进行DOS攻击任务。

通过对这个智能硬件的程序分析总结一下智能硬件的蠕虫感染的途径,首先是由攻击者利用智能硬件漏洞获得root权限,执行蠕虫代码。C2服务器就等待智能硬件上线,随后在默认的情况下感染蠕虫的智能硬件是会自动扫描发现其它的智能硬件,并自动化利用漏洞让目标感染蠕虫程序。控制程序还有一个状态就是Sleeping,这个状态就是保持与C2服务器的连接。等待下发指令,当前不做任何网络活动。最后就是发起攻击的时候就是dildos状态。根据目前静态分析的结果有这样几个状态,不排除今后会有变种会有更多的状态。

危害

根据云堤的数据,12月10日,已监测到的攻击最大流量近1亿Qps,(约合76.38Gbps)结合国外的一些消息大概此次发起攻击的消息,是使用了1000多个终端发起的攻击。这个数字已经很可怕了,如果有10000个这样的智能硬件受到感染发起攻击,那么流量将会达到700G左右。更何况现在的智能摄像头,路由器的漏洞、智能插座层出不穷,未来出货量也是成倍增长。那么当智能硬件达到一个量级时,由于其自身安全问题会给互联网造成很大的安全威胁的。实际上这就是将网络战场延伸到智能硬件这个领域。

防范措施

这类恶意程序的防范方法很难,由于大多数都是驻留在智能硬件固件系统中,固件不具备查杀恶意程序所依赖的环境,彻底查杀起来非常难。而且很多用户在进行初次配置完成后就不会管这些设备了,这也增加了查杀的难度。

1.对于用户修改自己智能摄像头、路由器等硬件的默认密码。关注官方发布的更新程序。
2.对于厂商来讲,需要加强固件的安全审计,对智能硬件进行测评,保障智能硬件不存在信息安全问题,才可以供货。并关注国内外对智能硬件进行安全测试结果和漏洞。有新漏洞出现时需及时打补丁。
3.对于相关部门、运营商、安全公司,应该对这些BOT进行全方位的监控,如果BOT发起大量的异常攻击从运营商层面进行流量清洗。对BOT恶意版本的变化进行定期的取样和分析。研发相关查杀脚本。

喜欢智能硬件、互联网安全的小伙伴们,欢迎关注我的微博交流 

[本文作者/360网络攻防实验室-刘健皓(企业账号),可能包含少量商业信息,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21414666(PV) 页面执行时间:85.744(MS)
  • xml
  • 网站地图