物联网僵尸网络和 DDoS 攻击的 CERT 分析

在攻击发生当天早上，Dyn 证实其位于东海岸的 DNS 基础设施遭受了来自世界各地的 DDoS 攻击。这些攻击严重影响了 Dyn 的 DNS 客户的业务，更糟糕的是，客户的网站变得无法访问。这些攻击一直持续到美国东部时间下午13：45。Dyn在其官方网站上表示，将追查此问题并发布事件报告。

受此次攻击影响的服务包括 Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify 和 Intercom。访问PayPal，BBC，华尔街日报，Xbox，CNN，HBO Now，星巴克，纽约时报，The Verge和金融时报等热门网站也受到影响。

对攻击的初步分析

作为回应，计算机应急响应小组（CERT）启动了高级分析流程，以跟进和分析 DDoS 攻击。根据CERT的分析，该事件涉及多种因素，尤其是物联网设备安全漏洞。除了表面上的DDoS攻击和DNS安全之外，还有很多其他问题值得更多关注和进一步研究。

Dyn表示，这次DDoS攻击涉及数千万个IP地址，其中大部分是物联网和智能设备。Dyn认为，这次攻击来自一个名为“Mirai”的恶意代码。黑客组织 NewWorldHackers 和 Anonymous 声称对这次攻击负责。

僵尸网络的 CERT 分析

依赖物联网设备的僵尸网络规模不断扩大。典型的物联网 DDoS 僵尸网络系列包括 2013 年出现的 CCTV 系列、ChiekenMM 系列（包括 10771、10991、25000 和 36000）以及基于 Linux 的跨平台 DDoS 僵尸网络系列（如 BillGates、Mayday、PNScan 和 Gafgyt）。CERT 已将这些特洛伊木马命名为：

家庭	变体数量	样品 HASH 数量
木马[DDoS]/Linux.Mirai	2	大于 100
特洛伊木马[DDoS]/Linux.Xarcen	5	大于 1000
特洛伊木马[DDoS]/Linux.Znaich	3	大于 500
特洛伊木马/Linux.PNScan	2	大于 50
木马[后门]/Linux.Mayday	11	大于 1000
特洛伊木马[DDoS]/Linux.DnsAmp	5	大于 500
特洛伊木马[后门]/Linux.Ganiw	5	大于 3000
木马[后门]/Linux.Dofloo	5	大于 2000
木马[后门]/Linux.Gafgyt	28	大于 8000
特洛伊木马[后门]/Linux.Tsunami	71	大于 1000
蠕虫/Linux.Moose	1	大于 10
蠕虫 [Net]/Linux.Darlloz	3	大于 10

在这次事件中，感染Mirai的主要受害者是物联网设备，包括路由器、网络摄像机和DVR。早在 2013 年，从事 DDoS 网络犯罪的组织就开始将捕获僵尸网络主机的目标从 Windows 转移到 Linux，从 x86 Linux 服务器转移到具有嵌入式 Linux 操作系统的物联网设备。Mirai在日语中是“未来”的意思。研发人员将新变种命名为“Hajime”，在日语中意为“开始”。

CERT捕获并分析了大量与智能设备和路由器相关的恶意样本，并与相关部门合作，从部分设备中收集了现场证据。这些设备主要采用MIPS和ARM架构，由于存在默认密码、弱密码、严重漏洞等因素，攻击者植入了木马，无法及时修复。由于物联网设备的大规模生产和部署，以及许多应用场景中集成商和运维人员的能力不足，导致很大一部分设备使用默认密码，漏洞无法及时修复。

攻击方式

域名系统（DNS）是在域名和相应 IP 地址之间进行转换的服务器。DNS存储域名和IP地址映射表，用于解析消息中的域名。目标网站根据解析结果获得访问量。如果DNS受到DDoS攻击，则无法正常解析域名，因此用户无法访问相关的目标网站。

在针对物联网设备的DDoS攻击（包括Mirai）中，攻击者通过Telnet端口对常用密码文件进行暴力破解，或者使用默认密码登录。如果攻击者通过 Telnet 成功登录，他们会尝试使用 BusyBox 和 wget 等必要的嵌入式工具来下载 DDoS 函数的机器人，修改可执行属性，并运行和控制物联网设备。由于CPU命令架构的差异，部分僵尸网络在确定系统架构后，可以选择MIPS、arm或x86架构的样例进行下载。运行这些示例后，僵尸网络会收到相关的攻击命令来发起攻击。

Mirai 示例中可以存在以下弱密码：

在之前对物联网僵尸网络的跟踪和分析中，CERT发现许多流行的设备，包括DVR、网络摄像机和智能路由器品牌都存在默认密码问题。

Mirai僵尸网络分析

Mirai僵尸网络的相关源代码于30年2016月4日由用户“Anna-senpai”在黑客论坛上发布。该用户声称，该代码的发布是为了鼓励用户更加关注安全行业。代码发布后，相关技术立即应用于其他恶意软件项目。2016 年 1000 月 <> 日，这段代码上传到 GitHub，并很快被分叉了 <> 多次。

CERT 分析了 4 年 2016 月 <> 日上传到 GitHub 的 Mirai 源代码，并整理了其代码结构：

泄露的Mirai源代码主要由两部分组成：

装载机：加载程序存储为每个平台编译的可执行文件，并用于加载实际的Mirai攻击程序。
未来：Mirai是黑客用来实施攻击的程序。它由两部分组成：bot（受控端，使用 C 语言编译）和 cnc（控制端，使用 Go 语言编译）。

机器人端提供以下模块：

模块文件名	模块功能
攻击.c	用于攻击。被调用的攻击子模块在其他 attack_xxx.c 文件中定义。
校验和.c	计算校验和。
杀手.c	结束进程。
main.c	主模块调用其他子模块。
兰德.c	生成随机数。
解析.c	解析域名。
扫描仪.c	它可以扫描网络上可能受到攻击的设备，例如，通过使用弱密码。
表.c	存储加密的域名数据。
util.c	提供一些实用工具。

类似的“开源”行为提供了极其糟糕的演示效果，并将进一步降低其他攻击者攻击物联网设备的成本。因此，本文不打算解释此代码。

CERT对物联网僵尸网络的监控

CERT的态势感知和监控系统可以持续监控僵尸网络的样本传输、在线控制和攻击命令。除了与Mirai相关的事件外，我们还发现了物联网僵尸网络对其他目标发起的攻击。

攻击开始时间和结束时间	样品系列（由原厂命名）	攻击目标	攻击类型
2016-10-22 9:36:48	家庭五月天	203.195..:15000 广州腾讯	TCP 泛洪
2016-10-20 8:12:57	家族 DDoS	www.52*.com XXX公司
2016-10-20 1:36:20	家族 DDoS	www.ssh*.com/user.php 深圳XXX公司
2016-10-9 18:52:35	家庭比尔盖茨	121.199..杭州XX云
2016-9-5 10:57:00	家庭比尔盖茨	59.151..北京XX

在 2014 年之前，经常扫描弱密码，在使用 Linux 系统的物联网设备上植入恶意代码。自 Shell Shock （CVE-2014-6271）出现以来，该漏洞在互联网上普遍用于扫描和植入恶意代码。根据 CERT Beeswarm 系统捕获的信息，自 Shell Shock 出现以来，Linux 主机入侵事件的数量显着增加。

2014 年 <> 月，CERT 检测到的第一起 Shell Shock 感染事件发生。随后，CERT发布了多篇与物联网设备相关的恶意代码分析报告，如《使用路由器传播的DYREZA家族变异分析》和《黑客使用HFS搭建服务器和传播恶意代码》等。另一份报告，特洛伊木马 [DDOS]/Linux。Znaich分析报告当时尚未发布，现在附在本报告中。攻击者还利用了其他一些可以获取主机权限的漏洞。

CERT分析团队的意见

CERT分析团队认为，由于以下因素的综合作用，物联网僵尸网络传播迅速：

随着从智能家居到智慧城市等物联网的快速发展，在线物联网设备的数量正在大幅增加。
Windows 是主流的桌面操作系统。随着 Windows 内存安全（如 DEP、ASLR、SEHOP）能力的不断增强，通过远程开放端口对 Windows 系统进行分解变得越来越困难。相比之下，如果没有严格的安全设计，恶意代码通过物联网设备注入，成功率要高得多。
大多数物联网设备没有嵌入任何安全机制，而且其中许多设备没有放置在传统的IT网络中。也就是说，它们超出了安全感知能力的控制范围。这些设备无法在问题发生时有效地做出响应。
物联网设备通常每天 24 小时在线，是比桌面 Windows 系统更稳定的攻击源。

CERT阐述了随着Internet Plus的发展，威胁将深入传播和泛化的观点，并使用“恶意软件/其他”一词来解释安全威胁向智能设备等新领域演进。正如我们所担心的那样，从智能汽车、智能家居、智能可穿戴设备到智慧城市，安全威胁无处不在。

因此，在这次针对 Dyn DNS 的大规模 DDoS 事件中，CERT 更加重视暴露出的物联网安全问题。虽然DNS经常被视为互联网的致命弱点，但我们不应忘记，互联网上的互通依赖于IP地址，而域名的产生只是为了方便用户的记忆。对于北美大型行业的大多数用户来说，VPN和IP地址被广泛用于连接，并且主要系统操作不依赖于DNS服务。因此，即使如此大流量的DDoS攻击给网民在一段时间内访问网站带来不便，也无法撼动北美社会运营和互联网基础。