物联网僵尸网络和 DDoS 攻击的 CERT 分析

在攻击发生当天早上,Dyn 证实其位于东海岸的 DNS 基础设施遭受了来自世界各地的 DDoS 攻击。这些攻击严重影响了 Dyn 的 DNS 客户的业务,更糟糕的是,客户的网站变得无法访问。这些攻击一直持续到美国东部时间下午13:45。Dyn在其官方网站上表示,将追查此问题并发布事件报告。

1

受此次攻击影响的服务包括 Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify 和 Intercom。访问PayPal,BBC,华尔街日报,Xbox,CNN,HBO Now,星巴克,纽约时报,The Verge和金融时报等热门网站也受到影响。

对攻击的初步分析

作为回应,计算机应急响应小组 (CERT) 启动了高级分析流程,以跟进和分析 DDoS 攻击。根据CERT的分析,该事件涉及多种因素,尤其是物联网设备安全漏洞。除了表面上的DDoS攻击和DNS安全之外,还有很多其他问题值得更多关注和进一步研究。

Dyn表示,这次DDoS攻击涉及数千万个IP地址,其中大部分是物联网和智能设备。Dyn认为,这次攻击来自一个名为“Mirai”的恶意代码。黑客组织 NewWorldHackers 和 Anonymous 声称对这次攻击负责。

僵尸网络的 CERT 分析

依赖物联网设备的僵尸网络规模不断扩大。典型的物联网 DDoS 僵尸网络系列包括 2013 年出现的 CCTV 系列、ChiekenMM 系列(包括 10771、10991、25000 和 36000)以及基于 Linux 的跨平台 DDoS 僵尸网络系列(如 BillGates、Mayday、PNScan 和 Gafgyt)。CERT 已将这些特洛伊木马命名为:

家庭变体数量样品 HASH 数量
木马[DDoS]/Linux.Mirai2大于 100
特洛伊木马[DDoS]/Linux.Xarcen5大于 1000
特洛伊木马[DDoS]/Linux.Znaich3大于 500
特洛伊木马/Linux.PNScan2大于 50
木马[后门]/Linux.Mayday11大于 1000
特洛伊木马[DDoS]/Linux.DnsAmp5大于 500
特洛伊木马[后门]/Linux.Ganiw5大于 3000
木马[后门]/Linux.Dofloo5大于 2000
木马[后门]/Linux.Gafgyt28大于 8000
特洛伊木马[后门]/Linux.Tsunami71大于 1000
蠕虫/Linux.Moose1大于 10
蠕虫 [Net]/Linux.Darlloz3大于 10

在这次事件中,感染Mirai的主要受害者是物联网设备,包括路由器、网络摄像机和DVR。早在 2013 年,从事 DDoS 网络犯罪的组织就开始将捕获僵尸网络主机的目标从 Windows 转移到 Linux,从 x86 Linux 服务器转移到具有嵌入式 Linux 操作系统的物联网设备。Mirai在日语中是“未来”的意思。研发人员将新变种命名为“Hajime”,在日语中意为“开始”。

CERT捕获并分析了大量与智能设备和路由器相关的恶意样本,并与相关部门合作,从部分设备中收集了现场证据。这些设备主要采用MIPS和ARM架构,由于存在默认密码、弱密码、严重漏洞等因素,攻击者植入了木马,无法及时修复。由于物联网设备的大规模生产和部署,以及许多应用场景中集成商和运维人员的能力不足,导致很大一部分设备使用默认密码,漏洞无法及时修复。

攻击方式

域名系统 (DNS) 是在域名和相应 IP 地址之间进行转换的服务器。DNS存储域名和IP地址映射表,用于解析消息中的域名。目标网站根据解析结果获得访问量。如果DNS受到DDoS攻击,则无法正常解析域名,因此用户无法访问相关的目标网站。

在针对物联网设备的DDoS攻击(包括Mirai)中,攻击者通过Telnet端口对常用密码文件进行暴力破解,或者使用默认密码登录。如果攻击者通过 Telnet 成功登录,他们会尝试使用 BusyBox 和 wget 等必要的嵌入式工具来下载 DDoS 函数的机器人,修改可执行属性,并运行和控制物联网设备。由于CPU命令架构的差异,部分僵尸网络在确定系统架构后,可以选择MIPS、arm或x86架构的样例进行下载。运行这些示例后,僵尸网络会收到相关的攻击命令来发起攻击。

Mirai 示例中可以存在以下弱密码:

2

在之前对物联网僵尸网络的跟踪和分析中,CERT发现许多流行的设备,包括DVR、网络摄像机和智能路由器品牌都存在默认密码问题。

Mirai僵尸网络分析

Mirai僵尸网络的相关源代码于30年2016月4日由用户“Anna-senpai”在黑客论坛上发布。该用户声称,该代码的发布是为了鼓励用户更加关注安全行业。代码发布后,相关技术立即应用于其他恶意软件项目。2016 年 1000 月 <> 日,这段代码上传到 GitHub,并很快被分叉了 <> 多次。

CERT 分析了 4 年 2016 月 <> 日上传到 GitHub 的 Mirai 源代码,并整理了其代码结构:

泄露的Mirai源代码主要由两部分组成:

  1. 装载 机:加载程序存储为每个平台编译的可执行文件,并用于加载实际的Mirai攻击程序。
  2. 未来:Mirai是黑客用来实施攻击的程序。它由两部分组成:bot(受控端,使用 C 语言编译)和 cnc(控制端,使用 Go 语言编译)。

机器人端提供以下模块:

模块文件名模块功能
攻击.c用于攻击。被调用的攻击子模块在其他 attack_xxx.c 文件中定义。
校验和.c计算校验和。
杀手.c结束进程。
main.c主模块调用其他子模块。
兰德.c生成随机数。
解析.c解析域名。
扫描仪.c它可以扫描网络上可能受到攻击的设备,例如,通过使用弱密码。
表.c存储加密的域名数据。
util.c提供一些实用工具。

类似的“开源”行为提供了极其糟糕的演示效果,并将进一步降低其他攻击者攻击物联网设备的成本。因此,本文不打算解释此代码。

CERT对物联网僵尸网络的监控

CERT的态势感知和监控系统可以持续监控僵尸网络的样本传输、在线控制和攻击命令。除了与Mirai相关的事件外,我们还发现了物联网僵尸网络对其他目标发起的攻击。

攻击开始时间和结束时间样品系列(由原厂命名)攻击目标攻击类型
2016-10-22 9:36:48家庭五月天203.195..:15000 广州腾讯TCP 泛洪
2016-10-20 8:12:57家族 DDoSwww.52*.com XXX公司
2016-10-20 1:36:20家族 DDoSwww.ssh*.com/user.php 深圳XXX公司
2016-10-9 18:52:35家庭比尔盖茨121.199..杭州XX云
2016-9-5 10:57:00家庭比尔盖茨59.151..北京XX

在 2014 年之前,经常扫描弱密码,在使用 Linux 系统的物联网设备上植入恶意代码。自 Shell Shock (CVE-2014-6271) 出现以来,该漏洞在互联网上普遍用于扫描和植入恶意代码。根据 CERT Beeswarm 系统捕获的信息,自 Shell Shock 出现以来,Linux 主机入侵事件的数量显着增加。

2014 年 <> 月,CERT 检测到的第一起 Shell Shock 感染事件发生。随后,CERT发布了多篇与物联网设备相关的恶意代码分析报告,如《使用路由器传播的DYREZA家族变异分析》和《黑客使用HFS搭建服务器和传播恶意代码》等。另一份报告,特洛伊木马 [DDOS]/Linux。Znaich分析报告当时尚未发布,现在附在本报告中。攻击者还利用了其他一些可以获取主机权限的漏洞。

CERT分析团队的意见

CERT分析团队认为,由于以下因素的综合作用,物联网僵尸网络传播迅速:

  1. 随着从智能家居到智慧城市等物联网的快速发展,在线物联网设备的数量正在大幅增加。
  2. Windows 是主流的桌面操作系统。随着 Windows 内存安全(如 DEP、ASLR、SEHOP)能力的不断增强,通过远程开放端口对 Windows 系统进行分解变得越来越困难。相比之下,如果没有严格的安全设计,恶意代码通过物联网设备注入,成功率要高得多。
  3. 大多数物联网设备没有嵌入任何安全机制,而且其中许多设备没有放置在传统的IT网络中。也就是说,它们超出了安全感知能力的控制范围。这些设备无法在问题发生时有效地做出响应。
  4. 物联网设备通常每天 24 小时在线,是比桌面 Windows 系统更稳定的攻击源。

CERT阐述了随着Internet Plus的发展,威胁将深入传播和泛化的观点,并使用“恶意软件/其他”一词来解释安全威胁向智能设备等新领域演进。正如我们所担心的那样,从智能汽车、智能家居、智能可穿戴设备到智慧城市,安全威胁无处不在。

因此,在这次针对 Dyn DNS 的大规模 DDoS 事件中,CERT 更加重视暴露出的物联网安全问题。虽然DNS经常被视为互联网的致命弱点,但我们不应忘记,互联网上的互通依赖于IP地址,而域名的产生只是为了方便用户的记忆。对于北美大型行业的大多数用户来说,VPN和IP地址被广泛用于连接,并且主要系统操作不依赖于DNS服务。因此,即使如此大流量的DDoS攻击给网民在一段时间内访问网站带来不便,也无法撼动北美社会运营和互联网基础。

设备安全在物联网中的重要性

毫无疑问,DNS是一个信息基础设施,但物联网僵尸网络不仅仅是发起这种攻击的工具。物联网是物联网,也是未来信息社会必不可少的支撑节点。物联网是基于互联网扩展和扩展的网络。它不仅仅是一个网络。物联网可以使用采用感知和信息传感技术的嵌入式传感器、设备和系统来构建涉及物理、社交空间的复杂应用程序。

放置这些应用的许多设备都是维持人们生活的关键节点上的必要基础设施设备,甚至是关键工业控制设施的基本传感器。入侵这些设备可提供更深入的资源值,并且比使用这些设备发起 DDoS 攻击更危险。物联网上大面积漏洞的存在带来了更多隐蔽和危险的社会安全风险和国家安全风险,只是很难察觉到这些类型的威胁。

将公众影响力作为评估网络安全事件影响的重要指标是很自然的。当安全威胁逐渐变得具有方向性和隐蔽性时,我们不应将注意力局限于易于识别的风险上。这样,就会释放出更危险的威胁。尽管 Dyn DDoS 攻击只影响了对网站的访问,但攻击背后的基本概念可以很容易地扩展到其他应用程序。

CERT一直在加强对物联网设备的安全防护,增加攻击或入侵物联网设备的成本,加强对物联网设备的安全威胁监测和告警。这与我们在过去十年中所做的工作类似,使 CERT AVL SDK 引擎能够在数以万计的防火墙和数十亿部手机上运行。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/216077.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C语言学习----指针和数组

&#x1f308;这篇blog记录一下指针学习~ 主要是关于指针和数组之间的关系&#xff0c;还有指针的使用等~ &#x1f34e;指针变量是一个变量 其本身也有一个地址 也需要存放&#xff0c;就和int char等类型一样的&#xff0c;也需要有一个地址来存放它 &#x1f34c;而指针变量…

手机显示此应用专为旧版android打造,因此可能无法运行,点击应用后闪退的问题解决方案

如果您在尝试安装并运行一个Android应用&#xff08;APK文件&#xff09;时遇到错误消息“此应用专为旧版Android打造, 因此可能无法运行”&#xff0c;或者应用在启动时立即崩溃&#xff0c;以下是一些您可以尝试的解决步骤&#xff1a; 图片来源&#xff1a;手机显示此应用专…

抖音小店开设条件和区别:个人店 vs 企业店解析

抖音小店是抖音平台为商家提供的一种电商服务&#xff0c;可以帮助商家建立线上店铺&#xff0c;通过短视频和直播等形式进行商品展示和销售。在抖音小店中&#xff0c;商家可以选择开设个人店或企业店。下面不若与众将介绍抖音小店个人店和企业店的开设条件和区别。 1. 个人店…

c++ 冒泡排序

c 冒泡排序 #include <iostream> #include <vector> using namespace std;void bubble_sort(std::vector<int> &nums) {std::cout<<"bubble_sort"<<std::endl;int lenght nums.size();for(int i 1;i<lenght;i){for(int j 0;j&…

资深测试总结,性能测试目的如何做?主要看什么指标?

目录&#xff1a;导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结&#xff08;尾部小惊喜&#xff09; 前言 1、性能测试是什么…

机器视觉工程师反复调试的原因是什么?

我们机器视觉项目的程序包含&#xff0c;业务逻辑图像处理&#xff0c;所以我们不单单调试图像处理部分&#xff0c;还要调试C&#xff0c;界面&#xff0c;数据等等。我们必须保证程序稳定性&#xff0c;还要保证视觉检测的稳定性。 据说&#xff0c;有个机器视觉工程师因为现…

用Pygame实现的乒乓球对战小游戏 附代码示例

这是一个用Pygame实现的乒乓球对战小游戏的简单示例。在这个示例中&#xff0c;我们将设置一个简单的游戏窗口&#xff0c;玩家可以通过按键来控制球拍击球。 首先&#xff0c;我们需要导入必要的库&#xff1a; import pygame import random然后&#xff0c;我们初始化pygam…

Jenkins 添加node节点

安装SSH插件 Jenkins- 插件管理- 可选插件- 搜索SSH Agent 配置启用SSH Server Jenkins- 系统管理 - 全局安全配置&#xff0c; 把 SSH Server 设置为启用(默认是禁用) 新增节点 第一种方式&#xff08;SSH密钥连接&#xff09;&#xff1a; 1.Jenkins主机生成SSH密钥 [rootk…

Spring支持哪几种事务管理类型,Spring 的事务实现方式和实现原理是?

1.Spring事务简介 事务作用&#xff1a;在数据层保障一系列的数据库操作同成功同失败 Spring事务作用&#xff1a;在数据层或业务层保障一系列的数据库操作同成功同失败 为何需要在业务层处理事务&#xff1f;&#xff1a;有些操作在数据层无法保证同成功同失败&#xff0c;…

Python简单网抑云数据采集 JS逆向

嗨喽&#xff0c;大家好呀~这里是爱看美女的茜茜呐 环境使用: Python 3.10 Pycharm 模块使用: requests -> pip install requests execjs -> pip install execjs 爬虫实现基本思路流程: 一. 数据来源分析: 明确需求: 明确采集的网站以及数据内容 网址: https://mu…

【Spark精讲】Spark任务运行流程

Spark任务执行流程 部署模式是根据Drvier和Executor的运行位置的不同划分的。client模式提交任务与Driver进程在同一个节点上&#xff0c;而cluster模式提交任务与Driver进程不在同一个节点。 Client模式 Clinet模式是在spark-submit提交任务的节点上运行Driver进程。 执行流…

《码农的噩梦与修电脑的奇幻之旅》

故事从一个充满梦想的码农学习计算机编程开始。他对编写程序充满了热情&#xff0c;认为自己就像是一位能够编织魔法的巫师&#xff0c;能够创造出炫酷的虚拟世界。 然而&#xff0c;这个充满幻想的故事在码农入门的第一天就遭遇了突如其来的挫折。电脑故障了&#xff01;所有…

数据结构 | 二叉树交换左右子树

二叉树交换左右子树的三种实现方式_交换二叉树的左右子树-CSDN博客

全网最新最全的基于Tensorflow和PyTorch深度学习环境安装教程: Tensorflow 2.10.1 加 CUDA 11.8 加 CUDNN8.8.1加PyTorch2.0.0

本文编写日期是&#xff1a;2023年4月. Python开发环境是Anaconda 3.10版本&#xff0c;具体Anaconda的安装这里就不赘述了&#xff0c;基础来的。建议先完整看完本文再试&#xff0c;特别是最后安装过程经验分享&#xff0c;可以抑制安装过程中一些奇怪的念头&#xff0c;减少…

mongodb之mongoTemplate基本操作

mongoTemplate基本操作 前提&#xff1a;已安装好mongodb服务 架构&#xff1a;springbootmongodb 1.引入依赖&#xff08;二选一&#xff09; // maven添加依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot…

气动工具市场分析:预计2029年将达到725亿元

从广义上讲&#xff0c;气动工具主要是利用压缩空气带动气动马达而对外输出动能工作的一种工具&#xff0c;根据其基本工作方式可分为&#xff1a;1)旋转式(偏心可动叶片式)&#xff1b;2)往复式(容积活塞式)一般气动工具主要由动力输出部分、作业形式转化部分、进排气路部分、…

排序与算法--冒泡排序

1.原理 比较两个相邻的元素&#xff0c;将较大的值交换到右边 2.举例&#xff1a;2 8 7 5 9 4 3 第一趟&#xff1a; 第一次&#xff1a;比较第一个和第二个&#xff1a;2 8 &#xff0c;不需要交换 第二次&#xff1a;比较 8 7&#xff0c;将8和7进行交换&#xff1a;2 7 …

【Python】webp图片转jpg

webp这种图片格式&#xff0c;是谷歌公司专门针对谷歌浏览器发布的一种全新的图片格式。相对于传统的jpg和png格式&#xff0c;webp格式的优势非常明显&#xff0c;更小的体积和肉眼无法区别出来的压缩损耗。但是对于很多人来说&#xff0c;下载下来之后使用不太方便&#xff0…

HT1621B新版本字段式驱动显示芯片替代PC1621K

PC1621K是一个32*4的LCD驱动器&#xff0c;可软体程控使其适用于多样化的LCD应用线路&#xff0c;仅用到3至4条讯号线便可控制LCD驱动器&#xff0c;除此之外也可介由指令使其进入省电模式 特色&#xff1a; 工作电压&#xff1a;2.4-5.2V 内建256KHz RC oscillator可外接 …

keil生成bin文件(通用型)

有些时候需要在keil里面生成bin文件&#xff0c;但找到的各种方式五花八门&#xff0c;特别是要填写文件路径等没有通用性&#xff0c;搞个不同的工程就得改下&#xff0c;找到这个跟路径无关的代码&#xff0c;进行记录下。 首先还是点开keil的设置&#xff1a; 按照上面的图…