新型大规模僵尸网络再次敲响物联网安全警钟

2016年10月,攻击者控制大量物联网设备对域名解析服务商发起大规模分布式拒绝服务攻击,导致美国大面积断网事件。2017年9月开始,国内外安全研究人员发现一新型恶意样本不断更新,持续控制物联网设备,形成大规模僵尸网络IoT_reaper。分析发现,该恶意样本比造成美国“网瘫事件”的罪魁祸首Mirai病毒更为高级,被其感染所形成的僵尸网络更具危害性,可造成大规模网络瘫痪,甚至可能影响工业生产;我国受感染的设备数量居世界首位,工业领域的嵌入式设备也可能受到影响,亟需引起高度重视。

近期,多家网络安全公司研究人员发现一针对物联网设备的新型恶意样本不断进行更新,收集了超过200万台易感染设备信息,控制了大量物联网设各并持续对易感染设各植入恶意代码 ,形成了全新的大规模物联网僵尸网络IoT_reaper(又称为 loTroop)。该新型恶意样本较造成2016年美国大规模“网瘫事件”的Mirai病毒更为高级,其具有变异性,集成了多种设各漏洞利用方法,感染效率大幅提高,攻击手段更加复杂,蔓延行为更加隐蔽,工业领域的嵌入式设备也可能受到影响,所形成的僵尸网络更具危险性。虽然IoT_reaper尚处在早期扩张阶段,但是恶意样本的作者正在积极更新代码持续扩大IoT_reaper感染范围,届时众多被感染设备一旦被利用发动分布式拒绝服务 (DDoS)攻击,可造成大规模网络瘫痪等重大网络安全事件,甚至有可能影响工业生产。据国内外信息安全机构分析,IoT_reaper的迅速蔓延,中国也受到了恶意软件影响 ,被感染设备数量居世界首位,严重威胁国家网络安全。

一、事件背景

2017年9月以来 ,国内外安全研究人员监测发现一针对物联网设各的新型恶意样本,随后该恶意样本不断持续更新,迅速感染全球大量物联网设备,形成大规模物联网僵尸网络IoT_reaper。目前,IoT_reaper恶意样本的编译者仍在更新代码 ,尚未发出除植入恶意代码以外的其他攻击指令,由此判断,该僵尸网络还处于初级发展阶段。但是,已有众多知名品牌路由器、互联网监控设备受到感染,包括GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、 MikroTik、 LinkSys、 Vacron及synology等。现阶段,被IoT_reaper感染设备数量前10的国家为:中国、意大利、新加坡、美国、越南、土耳其、韩国、泰国、印度和伊朗。其中,中国有3000多台设备受到感染,居于世界首位。

二 、技术特点

IoT_reaper部分借用了造成美国“网瘫事件”的罪魁祸首Mirai病毒,但在设计和效率上比 Mirai更加高级。

(一)恶意代码执行时不再使用弱口令猜测,而是直接利用物联网设备漏洞,感染速度大幅提高。

目前,IoT_reaper恶意样本仍在不断更新,已集成7大厂商的十多个设备漏洞利用方法,影响了多种型号的路由器、摄像头、录像机等物联网设备。具体集成的漏洞信息如表1所示。

表 1:IoT_reaper集成漏洞信息

该恶意样本通过集成上述路由器和摄像头等设备自身漏洞来感染控制物联网设备,并通过“自蔓延”感染方式建立僵尸网络,感染设备的效率大幅度提高。

(二 )恶意代码集成了LUA执行环境,攻击手段更加复杂。

IoT_reaper恶意代码通过集成LUA执行环境,从而支持通过LUA脚本编写复杂而高效的攻击指令,并且其源文件包含了多种DDoS攻击方式的代码。此外,其命令和控制(C&C)服务器至少包含4大功能模块,分别为loader(负责利用漏洞植入恶意代码)、downloader(提供恶意代码下载)、reporter(接收bot扫描到的易感染设备信息)以及cotro11er(控制bot、发送控制指令),其中,down1oader是IoT_reaper特有的,与Mirai的C&C存在显著区别 。它们分工有序协作,所有与DDoS攻击相关的功能都由C&C后台进行协调和管理,并作为单独的模块下载,具有较强的攻击能力。

(三 )蔓延行为更加隐蔽,可能造成的后果更加严重。

IoT_reaper主动抑制了扫描速度,很大程度上降低了被安全研究者发现的风险,提高了僵尸网络扩张蔓延的程度。此外,IoT_reaper样本集成了约100个DNS服务器,其中有大约三分之一的服务器曾经在现实世界中用来作为 DNS反射攻击的反射点,这在之前Mirai及其变种中是没有观察到的。一旦这些 DNS服务器被控制充当“肉鸡”,则可能导致攻击流量成千上万倍放大,造成十分严重的后果。

三、影响分析

IoT_reaper恶意样本感染设备十分迅速,其危险程度比Mirai更加严重。IoT_reaper内置有复杂高效多样的攻击指令,其恶意样本代码仍在持续更新。而且,有更多的易感设各信息已经被提交到后台,由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。届时一旦被利用发动DDoS攻击,可造成比美国“网瘫事件”更严重的大规模网络安全事件。由于中国被IoT_reaper感染设备数量居全球首位,我国网络安全首当其冲受到严重威胁。此外,分析发现,受 IoT_reaper影响的设备广泛应用于家庭、商场、楼宇、工厂等领域。我国钢铁、燃气、电力、政府、教育等重点行业领域的视频监控系统也使用了上述受影响的产品设备,一旦这些设备遭控制被发起攻击,可能影响这些机构办公网或生产网的正常运行,造成业务中断或经济损失,工业生产也可能受到影响。

四 、对策建议

对于这种新型的大规模物联网僵尸网络,需从国家层面高度重视 ,建议采取以下措施 :

1

在政府部门指导下,有关安全服务机构向相关设备厂商和用户发送风险预警,提示相关单位及时升级设备版本,安装补丁,修复系统漏洞;增强设各及账户密码强度,避免被恶意样本破解;关闭不必要的共享端口,防止被恶意程序入侵 。

2

持续跟踪恶意样本变种,加强技术研究。关注国内外安全动态,跟进最新设各漏洞,分析新变种恶意样本攻击原理和感染机制,持续关注感染设各范围和型号,对集成在恶意样本内的漏洞及时做 出预警和防范。

来自:国家工业信息安全发展研究中心

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180117B0MT9Q00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区