信息來源:cnBeta
IOT設(shè)備的集體“叛變”,或許會(huì)置人于尷尬處境。比如,電影《終結(jié)者:黑暗命運(yùn)》里就描述了這樣的場(chǎng)景:一個(gè)名為軍團(tuán)的人工智能防御系統(tǒng)被制造出來,它擁有極強(qiáng)的學(xué)習(xí)能力,并且控制著全球70%以上的核武和人形兵器。很快,它通過自我進(jìn)化得出一個(gè)結(jié)論——消滅人類才是終止戰(zhàn)爭(zhēng)的唯一辦法。于是,這些究極IOT產(chǎn)品徹底發(fā)狂,末日之戰(zhàn)拉開序幕。
盡管不知道未來是否會(huì)有軍團(tuán)這樣的東西存在,但現(xiàn)在已經(jīng)有不少類似的僵尸網(wǎng)絡(luò),它們會(huì)進(jìn)化、會(huì)想方設(shè)法操控每一臺(tái)主機(jī),打造自己的“反叛軍團(tuán)”。
10月31日,研究人員發(fā)布報(bào)告稱,已經(jīng)檢測(cè)到一種最新的Gafgyt僵尸網(wǎng)絡(luò)變體。該變體針對(duì)的是Zyxel、華為和Realtek在內(nèi)的32000個(gè)小型辦公室和家庭無線路由器中的缺陷,可以降低此類產(chǎn)品網(wǎng)絡(luò)連接通暢性,并大幅削弱登錄服務(wù)時(shí)的安全性。
Gafgyt僵尸網(wǎng)絡(luò)“進(jìn)化史”
Gafgyt于2014年首次被發(fā)現(xiàn)。從那時(shí)起,它就以大規(guī)模的分布式拒絕服務(wù)攻擊而聞名,它的許多變體已經(jīng)開始針對(duì)跨行業(yè)企業(yè)的一系列產(chǎn)品。
從2016年開始,網(wǎng)絡(luò)安全公司Zingbox的研究人員就注意到,無線路由器是所有組織中最常見的IoT設(shè)備之一,并且是IoT僵尸網(wǎng)絡(luò)的主要目標(biāo)。
這期間,Gafgyt僵尸網(wǎng)絡(luò)已經(jīng)完成了多輪“進(jìn)化”:
(1)2014年8月,索尼PSN遭受來自Gafgyt家族的DDoS攻擊,以至完全癱瘓,黑客組織LizardSquad聲稱對(duì)此次事件負(fù)責(zé)。
(2)同年12月,LizardSquad再次利用該家族對(duì)微軟Xbox Live發(fā)動(dòng)DDOS攻擊,致使數(shù)百萬游戲玩家無法連接到游戲服務(wù)器。
(3)2015年1月,Gafgyt家族的源代碼被公開,其源碼僅由一個(gè).c文件構(gòu)成,共計(jì)1600+行代碼(含telnet掃描模塊及弱口令字典)。
(4)此后,各黑產(chǎn)從業(yè)者開始以該家族為基礎(chǔ)開發(fā)大量變種(如Bashlite、Qbot、Tsunami等),使原本只屬于LizardSquad的攻擊痕跡得到隱藏。
僵尸網(wǎng)絡(luò)攻擊時(shí),可能會(huì)降低網(wǎng)絡(luò)和IP地址的可信度。僵尸網(wǎng)絡(luò)利用漏洞而不是嘗試通過不安全的服務(wù)登錄來訪問連接的設(shè)備。因此,即使企業(yè)管理員禁用了不安全的服務(wù)并使用了強(qiáng)大的登錄憑據(jù),僵尸網(wǎng)絡(luò)也可以更輕松地在IoT設(shè)備中傳播。
進(jìn)擊的Gafgyt家族新變體
最新檢測(cè)到的Gafgyt變體是JenX僵尸網(wǎng)絡(luò)的競(jìng)爭(zhēng)對(duì)手。JenX利用遠(yuǎn)程代碼執(zhí)行漏洞來訪問和招募僵尸網(wǎng)絡(luò)來攻擊游戲服務(wù)器(尤其是那些運(yùn)行Valve Source引擎的服務(wù)器)并發(fā)起拒絕服務(wù)(DDoS)攻擊。
Gafgyt使用三個(gè)“掃描程序”來嘗試?yán)蒙鲜雎酚善髦械囊阎h(yuǎn)程代碼執(zhí)行攻擊。這些掃描程序替代了其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所采用的典型“字典式”攻擊,這些攻擊通常旨在通過不安全的服務(wù)來破壞連接的設(shè)備。
該漏洞被設(shè)計(jì)為用作二進(jìn)制刪除程序,根據(jù)要感染的設(shè)備類型從惡意服務(wù)器中提取相應(yīng)的二進(jìn)制文件。Zingbox研究人員在一篇博客文章中寫到,新的Gafgyt變體可根據(jù)從口令和控制服務(wù)器收到的命令,同時(shí)執(zhí)行不同類型的DDoS攻擊。
這種新的Gafgyt變體針對(duì)三種無線路由器中的漏洞,其中兩種與JenX相同——兩者共享CVE-2017-17215(在華為HG532中)和CVE-2014-8361(在Realtek的RTL81XX芯片組中),CVE-2017-18368(在Zyxel P660HN-T1A中)則是Gafgyt的新增功能。
Zingbox威脅情報(bào)副總監(jiān)Jen Miller-Osborn稱,Gafgyt是根據(jù)JenX僵尸網(wǎng)絡(luò)代碼開發(fā)的,這也突出顯示黑客在該范圍內(nèi)構(gòu)建僵尸網(wǎng)絡(luò)的興趣。
“Gafgyt的這種演變表明,有一群人正在努力更新這些僵尸網(wǎng)絡(luò),他們會(huì)將最新的漏洞同步到僵尸網(wǎng)絡(luò)之中,并以此強(qiáng)大其陣容,”他說到。
游戲服務(wù)器躺槍
最新的Gafgyt變體可以執(zhí)行一種名為Vaf的有效載荷DDoS攻擊。這可以用于攻擊運(yùn)行Valve Source Engine的游戲服務(wù)器,使得游戲進(jìn)入宕機(jī)狀態(tài)。
Valve Source Engine是運(yùn)行《半條命》《軍團(tuán)要塞2》等游戲的引擎,這些游戲的受眾玩家已達(dá)到數(shù)百萬人,一旦服務(wù)器宕機(jī),游戲公司將面臨大范圍的用戶投訴。
當(dāng)然,最新的Gafgyt變體并非只和Valve Source Engine的游戲服務(wù)器過不去。通過其他的DDoS攻擊方法,黑客還可以將目標(biāo)鎖定到諸如托管《Fortnite》之類流行游戲的其他服務(wù)器上。
Zingbox研究人員米勒-奧斯本(Miller-Osborn)稱,利用Gafgyt僵尸網(wǎng)絡(luò),黑客可以輕易阻斷游戲服務(wù)器的正常運(yùn)行,但這并不能讓其獲得巨大的收入。因此,會(huì)做這件事的人,有可能僅是為了追求干壞事的快感而已。
“盡管游戲服務(wù)器已成為受害對(duì)象,但針對(duì)這些攻擊的物聯(lián)網(wǎng)設(shè)備的種類卻在增加。從單純攻擊路由器到影響中小企業(yè)甚至某個(gè)家庭的游戲玩家,這也是此次Gafgyt變體的可怕之處,”她補(bǔ)充到。