“僵尸”的隐藏世界: 针对中国路由器的巨型僵尸网络仅仅是个开始

一个跨越一年多的可能给我们带来新的思考-“僵尸”就要来了，很难阻止.

2017年底，美国司法部宣布，创建“大东方网络”的Mirai僵尸网络的创建者认罪. 2016年在美国东部肆虐的第一次全球物联网攻击再次引起关注.

事实上，雷锋此前曾警告说，安全研究人员随后监控的大型僵尸网络比Mirai的“僵尸军”要大得多. 例如，比Mirai更大的“ Satori”僵尸网络. Satori在短短12个小时内感染了超过260,000个IP地址，并利用了新发现的华为HG532系列路由器的命令执行漏洞CVE-2017-17215（现已提供处理建议）来控制数十万个家用路由器. （有关详细信息，请参阅Lei Feng.com报道: “一个庞大的僵尸网络Satori来到一个中国品牌路由器，并泄露了作者的身份. ”）

但这只是冰山一角. 看似受控的“ Satori”背后还有更多隐藏的潜在风险. Lei Feng.com与360 Cyber​​ nit @@@@@@的安全研究员李凤培联系，试图探索这个更加秘密的``僵尸''世界.

1. 为什么“ Satori”以华为路由器为目标？有什么隐藏的东西吗？

李凤培: 现在Satori在12小时内的活跃数量为260,000，我们估计总体规模应该在600,000路由器左右，这是一个级的“僵尸网络”.

Satori大量继承了Mirai的原始代码. 其主要结构与Mirai非常相似，但是感染方法和感染目标已发生变化. 至于为什么它是华为路由器，而不是其他路由器. 我认为攻击者应该尝试过多种感染方法，并碰巧碰到了一个可能会造成很多漏洞的路由器，而该的数量已达数百万个，因此很快招募了60万个“僵尸”，这主要是因为家用路由器.

2. 我们应该责怪设备制造商的“无所作为”吗？

李凤佩: 这涉及供应链. 说“设备供应商不为安全而努力”是不客观的. 新相机将采取安全措施. 实际上，他们还积极寻求如何使设备更安全.

更困难的问题是已发布的设备. 它们已经在Internet上，并且有数百万. 如果发现任何设备型号有问题，则制造商将难以控制. 例如，这件东西卖给了国家A和C，但没有卖给国家B，但是发现该设备在国家B中非常多，因为销售管理渠道会引导商品，这是无法控制的. 制造商，它可能找不到要通知和处理的人.

其中一些在出售后已失控. 为什么在中国会更好？国内采购通常是工业. 例如，高速公路的管理将集中于购买一批，如果出现问题，则更容易找到人. 只要有人负责，就可以随时向前推进. 这就是为什么中国使用很多相机的原因，但是听起来它并没有受到如此严重的攻击. 他们已经完成了工作. 至于他们是否会尽最大努力满足社会的期望僵尸网络，这尚待判断. 我们不会对别人说坏话.

3. 某些IoT报告称，路由器，相机和打印机是物联网中最具潜在安全风险的设备. 你觉得呢？

李凤佩: 打印机很少暴露在外部网络中. 我们不是在研究漏洞，漏洞是潜在的威胁，而是在研究实际上已经发生并已被实际利用的设备. 我特别想说的是，注意家用路由器. 美国司法部提到的有罪信称，当Mirai的三名罪犯在2016年12月进行漏洞注入时，受感染的设备是家用路由器，而不是摄像机.

核心原因是路由器在网络上的暴露区域足够大，并且路由器必须具有公共网络地址，该地址可以从外部进行扫描，这是决定性的. 除了起决定性作用之外，现有设备的已知漏洞尚未修补，还存在一些未知漏洞，并且旧设备也是原因.

您家中的打印机将不会直接具有公共网络地址，而相机和路由器将具有公共网络地址. 我们想提醒大家，家用路由器的实际问题比摄像机要严重得多. 而且家用路由器有问题，您可能根本不会意识到，只要您可以访问Internet，个人就不会意识到路由器是受控的.

对于家庭用户，如果网络速度变慢，则可以重启路由器，这样就可以了. 攻击者正在大面积种植，成本非常低. 他不太关心在被感染的设备上隐藏行踪.

4. 沙都的事情现在解决了吗？

李凤佩: Satori的影响力确实很大. 在12小时内感染260,000次之后，许多其他安全公司证实了我们在发送报告后看到的数量. 每个人都看到这个僵尸网络是如此之大. ISP，运营商和DNS运营商自发地工作. 他们花了两天时间从僵尸网络控制器接管了控制器的域名和IP地址.

这不是一个完美的解决方案. 他们可以接管主域名和IP地址主服务器，这会大大减慢僵尸网络的发展；但是该设备的漏洞仍然存在，并且已经有人知道如何进行操作僵尸网络，并且可以以更细微的方式再次进行操作.

5. 再次扫描并创建另一个（控制端）域名？

李凤培: 是的，成本很低.

6. 怎么玩？杀死一个然后长出另一个.

李凤佩: 是的. 在网络空间中采取的这些措施可以抑制和减轻这种威胁. 例如，攻击者下次将不会以扫描方式进行扫描，在之前的12小时内已扫描了260,000台设备. 也许在采取措施之后，我们可以将其减少到12天. 26万个设备. 但是，仅此而已. 归根结底，要彻底解决这一问题，需要执法机构的“有形”镇压，并将嫌疑人入狱.

对于小盗贼，您可以使用上面提到的网络安全空间，但是对于真正的江阳小偷，您只能依靠执法机构. 外国银行机构将对此事给予更多关注. 只要你攻击我一次，我一定会把你送进监狱的，否则无数人会来攻击我. 即使您没有直接攻击我，也没有攻击我的客户.

结论

如果您密切关注华为HG532系列命令执行漏洞CVE-2017-17215的进展，您会发现几天前，国内安全公牛TK在微博上说: “关于华为HG532远程命令执行漏洞（CVE-2017-17215），所有相关文章都说制造商提供了补丁-写文章的学生，您真的看到补丁了吗？”随后，他说华为HG532系列路由器命令执行漏洞CVE-2017 -17215可能比现在每个人都看到的危险更大. 用于触发此漏洞的端口只能在默认配置下通过Intranet访问. 可以通过CSRF远程利用此漏洞.

这意味着即使在现有的联合勒索情况下，“ Satori”似乎也保持沉默，但事情远未超出李凤培所说的“ Satori”是否可以轻松更改，或者TK等发现了新的利用形式的漏洞可能导致新的威胁.

僵尸世界无穷无尽.

但是仍然有希望. 正如李凤培所说，在金融行业案例中“必须报告仇恨”-被僵尸网络攻击的金融行业损失了，因此金融机构一定会进行反击，并与离线攻击结合，进行此类攻击作者起到了威慑作用.

如果其他行业的受害者，安全从业人员和执法机构“跟进”，结果会有所不同吗？

我们正在等待这个答案.

微信公众号搜索“开车回家”并注意，每日最新的手机，计算机，汽车，智能硬件信息可以让您掌握一切. 建议关注！ [下图可以直接进行微信扫描]

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-242046-1.html