信息來(lái)源:cnBeta
IOT設(shè)備的集體“叛變”�,或許會(huì)置人于尷尬處境�。比如,電影《終結(jié)者:黑暗命運(yùn)》里就描述了這樣的場(chǎng)景:一個(gè)名為軍團(tuán)的人工智能防御系統(tǒng)被制造出來(lái),它擁有極強(qiáng)的學(xué)習(xí)能力��,并且控制著全球70%以上的核武和人形兵器�。很快,它通過(guò)自我進(jìn)化得出一個(gè)結(jié)論——消滅人類(lèi)才是終止戰(zhàn)爭(zhēng)的唯一辦法��。于是��,這些究極IOT產(chǎn)品徹底發(fā)狂����,末日之戰(zhàn)拉開(kāi)序幕。
盡管不知道未來(lái)是否會(huì)有軍團(tuán)這樣的東西存在�,但現(xiàn)在已經(jīng)有不少類(lèi)似的僵尸網(wǎng)絡(luò),它們會(huì)進(jìn)化�����、會(huì)想方設(shè)法操控每一臺(tái)主機(jī)���,打造自己的“反叛軍團(tuán)”。
10月31日���,研究人員發(fā)布報(bào)告稱(chēng)����,已經(jīng)檢測(cè)到一種最新的Gafgyt僵尸網(wǎng)絡(luò)變體。該變體針對(duì)的是Zyxel�、華為和Realtek在內(nèi)的32000個(gè)小型辦公室和家庭無(wú)線路由器中的缺陷,可以降低此類(lèi)產(chǎn)品網(wǎng)絡(luò)連接通暢性�,并大幅削弱登錄服務(wù)時(shí)的安全性。
Gafgyt僵尸網(wǎng)絡(luò)“進(jìn)化史”
Gafgyt于2014年首次被發(fā)現(xiàn)�。從那時(shí)起,它就以大規(guī)模的分布式拒絕服務(wù)攻擊而聞名��,它的許多變體已經(jīng)開(kāi)始針對(duì)跨行業(yè)企業(yè)的一系列產(chǎn)品����。
從2016年開(kāi)始,網(wǎng)絡(luò)安全公司Zingbox的研究人員就注意到��,無(wú)線路由器是所有組織中最常見(jiàn)的IoT設(shè)備之一��,并且是IoT僵尸網(wǎng)絡(luò)的主要目標(biāo)��。
這期間���,Gafgyt僵尸網(wǎng)絡(luò)已經(jīng)完成了多輪“進(jìn)化”:
(1)2014年8月��,索尼PSN遭受來(lái)自Gafgyt家族的DDoS攻擊����,以至完全癱瘓,黑客組織LizardSquad聲稱(chēng)對(duì)此次事件負(fù)責(zé)�����。
(2)同年12月����,LizardSquad再次利用該家族對(duì)微軟Xbox Live發(fā)動(dòng)DDOS攻擊,致使數(shù)百萬(wàn)游戲玩家無(wú)法連接到游戲服務(wù)器���。
(3)2015年1月���,Gafgyt家族的源代碼被公開(kāi),其源碼僅由一個(gè).c文件構(gòu)成��,共計(jì)1600+行代碼(含telnet掃描模塊及弱口令字典)���。
(4)此后��,各黑產(chǎn)從業(yè)者開(kāi)始以該家族為基礎(chǔ)開(kāi)發(fā)大量變種(如Bashlite、Qbot�����、Tsunami等),使原本只屬于LizardSquad的攻擊痕跡得到隱藏���。
僵尸網(wǎng)絡(luò)攻擊時(shí)�,可能會(huì)降低網(wǎng)絡(luò)和IP地址的可信度���。僵尸網(wǎng)絡(luò)利用漏洞而不是嘗試通過(guò)不安全的服務(wù)登錄來(lái)訪問(wèn)連接的設(shè)備����。因此�����,即使企業(yè)管理員禁用了不安全的服務(wù)并使用了強(qiáng)大的登錄憑據(jù)����,僵尸網(wǎng)絡(luò)也可以更輕松地在IoT設(shè)備中傳播。
進(jìn)擊的Gafgyt家族新變體
最新檢測(cè)到的Gafgyt變體是JenX僵尸網(wǎng)絡(luò)的競(jìng)爭(zhēng)對(duì)手���。JenX利用遠(yuǎn)程代碼執(zhí)行漏洞來(lái)訪問(wèn)和招募僵尸網(wǎng)絡(luò)來(lái)攻擊游戲服務(wù)器(尤其是那些運(yùn)行Valve Source引擎的服務(wù)器)并發(fā)起拒絕服務(wù)(DDoS)攻擊���。
Gafgyt使用三個(gè)“掃描程序”來(lái)嘗試?yán)蒙鲜雎酚善髦械囊阎h(yuǎn)程代碼執(zhí)行攻擊����。這些掃描程序替代了其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所采用的典型“字典式”攻擊����,這些攻擊通常旨在通過(guò)不安全的服務(wù)來(lái)破壞連接的設(shè)備。
該漏洞被設(shè)計(jì)為用作二進(jìn)制刪除程序�����,根據(jù)要感染的設(shè)備類(lèi)型從惡意服務(wù)器中提取相應(yīng)的二進(jìn)制文件�。Zingbox研究人員在一篇博客文章中寫(xiě)到,新的Gafgyt變體可根據(jù)從口令和控制服務(wù)器收到的命令���,同時(shí)執(zhí)行不同類(lèi)型的DDoS攻擊���。
這種新的Gafgyt變體針對(duì)三種無(wú)線路由器中的漏洞,其中兩種與JenX相同——兩者共享CVE-2017-17215(在華為HG532中)和CVE-2014-8361(在Realtek的RTL81XX芯片組中)����,CVE-2017-18368(在Zyxel P660HN-T1A中)則是Gafgyt的新增功能。
Zingbox威脅情報(bào)副總監(jiān)Jen Miller-Osborn稱(chēng)���,Gafgyt是根據(jù)JenX僵尸網(wǎng)絡(luò)代碼開(kāi)發(fā)的�,這也突出顯示黑客在該范圍內(nèi)構(gòu)建僵尸網(wǎng)絡(luò)的興趣���。
“Gafgyt的這種演變表明��,有一群人正在努力更新這些僵尸網(wǎng)絡(luò)����,他們會(huì)將最新的漏洞同步到僵尸網(wǎng)絡(luò)之中��,并以此強(qiáng)大其陣容���,”他說(shuō)到��。
游戲服務(wù)器躺槍
最新的Gafgyt變體可以執(zhí)行一種名為Vaf的有效載荷DDoS攻擊�����。這可以用于攻擊運(yùn)行Valve Source Engine的游戲服務(wù)器����,使得游戲進(jìn)入宕機(jī)狀態(tài)�����。
Valve Source Engine是運(yùn)行《半條命》《軍團(tuán)要塞2》等游戲的引擎,這些游戲的受眾玩家已達(dá)到數(shù)百萬(wàn)人���,一旦服務(wù)器宕機(jī)����,游戲公司將面臨大范圍的用戶(hù)投訴��。
當(dāng)然���,最新的Gafgyt變體并非只和Valve Source Engine的游戲服務(wù)器過(guò)不去����。通過(guò)其他的DDoS攻擊方法�����,黑客還可以將目標(biāo)鎖定到諸如托管《Fortnite》之類(lèi)流行游戲的其他服務(wù)器上��。
Zingbox研究人員米勒-奧斯本(Miller-Osborn)稱(chēng)�,利用Gafgyt僵尸網(wǎng)絡(luò),黑客可以輕易阻斷游戲服務(wù)器的正常運(yùn)行���,但這并不能讓其獲得巨大的收入����。因此,會(huì)做這件事的人�����,有可能僅是為了追求干壞事的快感而已��。
“盡管游戲服務(wù)器已成為受害對(duì)象����,但針對(duì)這些攻擊的物聯(lián)網(wǎng)設(shè)備的種類(lèi)卻在增加����。從單純攻擊路由器到影響中小企業(yè)甚至某個(gè)家庭的游戲玩家,這也是此次Gafgyt變體的可怕之處��,”她補(bǔ)充到��。
