物聯(lián)網(IoT)僵尸網絡作者正在適應更安全的物聯(lián)網設備的轉變��,這已經將攻擊者的注意力轉移到利用物聯(lián)網設備的漏洞上���。由于物聯(lián)網設備安全性仍處于起步階段�����,因此發(fā)現(xiàn)命令注入等基本漏洞并不少見����。
2018年11月�,NetScout的Asert團隊成員通過部署蜜罐觀察到幾個舊的物聯(lián)網漏洞被用以傳遞惡意軟件。研究數(shù)據(jù)顯示�����,新型物聯(lián)網設備遭受針對已知漏洞的攻擊需要不到一天的時間��,而使用默認憑據(jù)(進入蜜罐)強行登錄只需要不到5分鐘的時間。
主要發(fā)現(xiàn)
除了通常的強制路由之外��,物聯(lián)網僵尸網絡作者越來越多地將對物聯(lián)網相關漏洞的利用添加到他們的武器庫中�����。在某些情況下�,攻擊者會通過嘗試利用已知漏洞為強行攻擊做后援。
由于修補物聯(lián)網設備更新固件的節(jié)奏之慢�����,部分相關漏洞在較長時間內都是有效的攻擊載體�����。
研究人員收集的數(shù)據(jù)顯示�����,從物聯(lián)網設備上線到首次強攻開始��,中間只需要不到5分鐘的時間��。在24小時內����,這些設備開始接收針對已知漏洞的攻擊嘗試。
具體細節(jié)
使用基于物聯(lián)網的漏洞已經幫助僵尸網絡開發(fā)者輕松地增加僵尸網絡感染的設備數(shù)量�����。例如�����,許多Mirai變體就中包括物聯(lián)網特定的漏洞����。
根據(jù)研究人員的蜜罐數(shù)據(jù),從漏洞公開到僵尸網絡作者將其整合到僵尸網絡中的周轉速度很快���,新舊物聯(lián)網相關漏洞混合在一起���。主要原因如下:首先,在購買之前�����,物聯(lián)網設備可以在貨架上放置數(shù)周����。如果為設備發(fā)布了安全更新����,則在更新軟件之前不會將其應用于這些設備����,這會讓設備啟動時即易遭受攻擊,能被迅速利用���。蜜罐數(shù)據(jù)顯示����,在有人掃描設備并嘗試強力登錄之前�,設備連接到互聯(lián)網只需幾分鐘。其次���,物聯(lián)網設備接收補丁的速度令人憂心�。這些設備一度被誤認為在安全性方面的工作可以“一勞永逸”��。
在Hadoop YARN請求的沖擊下��,研究者發(fā)現(xiàn)了一些與物聯(lián)網相關的老漏洞���。這些漏洞包括CVE-2014-8361��、CVE-2015-2051�、CVE-2017-17215和CVE-2018-10561。圖1顯示了在11月試圖利用這些漏洞攻擊部署蜜罐的來源數(shù)量��。
圖1
圖2中的示例顯示了使用CVE-2014-8361來提供Mirai的MIPS變體���。正如在下面重點顯示的有效負載中看到的,該漏洞使用“wget”下載僵尸程序的副本并在易受攻擊的設備上執(zhí)行它�����。CVE-2014-8361于2015年4月公開披露�,并已用于多個復雜物聯(lián)網僵尸網絡,如Satori和JenX��。
圖2
圖3是CVE-2017-17215的一個例子��,它用于提供另一種Mirai變種�����。以類似的方式����,可以看到濫用“wget”下載機器人并在易受攻擊的設備上執(zhí)行它����。CVE-2017-17215還被用于幾個高調的物聯(lián)網僵尸網絡中�。此漏洞于2017年12月披露,并于2017年12月25日在exploit-db上發(fā)布了概念驗證�����。
圖3
由于連接到互聯(lián)網的物聯(lián)網設備數(shù)量龐大�����,因此查找易受攻擊的設備非常便捷���。當易受攻擊的設備被“打開”并且應用安全漏洞的更新時����,攻擊者可以快速收集大型僵尸網絡���。在大多數(shù)情況下�,這些僵尸網絡立即被征召入DDoS大軍中���。正如我們在2016年通過Mirai進行的DDoS攻擊所看到的那樣�,創(chuàng)建大型物聯(lián)網僵尸網絡并造成嚴重破壞并不需要花費大量精力。未來我們將繼續(xù)看到使用基于物聯(lián)網的漏洞的增加�����。更新像Mirai這樣的僵尸網絡源代碼以利用這些漏洞的便利性起著重要作用����。以最少的時間和資源創(chuàng)建更大的僵尸網絡的能力就是我們看到物聯(lián)網僵尸網絡數(shù)量趨勢變化背后的原因����。
