返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
Arbor Networks:伸向ARC的Satori
2018-02-27 IT运维网 / 消息

      Satori是恶名远扬的物联网恶意软件Mirai的继承变种,被研究人员在2017年12月发现。“Satori”这个词在日语里是“开悟”或者“领悟”的意思,但Satori恶意软件带来的却是一片混乱。它的每一个新版本都把目标平台、传播方法和攻击类型进行了重新组合。与传统恶意软件逐渐增强的功能相比,Satori似乎既有进步又有倒退。深入挖掘其历史将有助于我们洞悉这一不断演变的威胁软件。

 

物联网恶意软件的由来

      2016年末,上了头条新闻的大规模DDoS攻击第一次引起了人们对物联网安全的关注。恶意软件Mirai并没有像大多数威胁软件那样针对Windows系统,它的目标是物联网设备和其他嵌入式系统的漏洞。这些设备是DDoS僵尸网络的极佳选择,因为它们通常运行精简版的Linux,直接连接到互联网,而且安全功能非常有限。

      Mirai及其很多模仿者的运行原理都是类似的:

·         传播——受感染的设备会随机的去感染其他设备。Mirai开始时便利用了过时的Telnet协议,使用了常见的用户名/密码对。后来的版本则利用具体平台的漏洞来进行传播,例如,家庭路由器Web接口中的命令注入漏洞。

·         指挥和控制——一旦被感染,僵尸程序除了传播之外,还会定期访问指挥和控制网站,以获取更新和攻击命令。

·         攻击——一旦接到指挥和控制网站的指令,僵尸主机会协同向受害者发起洪水式的攻击。这包括具有特殊标志的TCP数据包、UDP数据包、HTTP请求,或者其他更复杂的洪水式的攻击。

      Mirai的作者最终公开了该恶意软件的源代码。有了它,任何知道怎样使用编译器的人都能够建立自己的指挥和控制网站,快速构建自己的Mirai僵尸网络。而那些技高一筹的人还可以添加新的传播方法、指挥和控制协议,以及新攻击类型等特性。

 

Satori

      研究人员第一次发现Satori是在2017年12月,后来又陆续出现了其他版本。最初发现的Satori与Mirai的不同之处在于其传播方法针对的是物联网设备中的两个漏洞——华为家庭网关的“零日”,以及Realtek的UPnP SOAP接口中已知的命令执行漏洞。这两种漏洞显然都是针对两类非常具体的设备,这与和设备无关的Mirai不同,Mirai所感染的设备一般使用了默认的或者很容易被猜到的Telnet用户名和密码。尽管有证据表明Satori至少重新使用了Mirai部分公开的代码,其非常有针对性的攻击才是引起研究人员注意的原因所在。

      也许是为了进一步把水搅浑,其他版本的Satori确实使用Telnet来传播,但是有更复杂的用户名和密码列表。

      包括Satori在内的所有物联网恶意软件都是以编译后的、随时可以运行的格式发送给受害者的。这意味着专门针对受害者的架构编译了Linux可执行文件。例如,ARM设备不能运行为x86处理器编译的可执行文件。在发送其有效载荷之前,Mirai和Satori会试探受害者,确定要下载并执行Mirai经过预编译的哪一个二进制版本。而Satori魔高一丈,引入了新的架构——SuperH和ARC。还不清楚Satori背后的犯罪分子为什么这样做,是因为他们知道有易感染的主机,还是碰运气而已。

 

DDoS缓解

      Satori的所有变种都利用了Mirai DDoS攻击代码库的不同子集,因此,长期以来基于Mirai的DDoS缓解措施仍然适用。例如,可以参考ASERT博客中名为“Mirai物联网僵尸网络介绍”,以及“DDoS攻击缓解”文章中的实例[7]。Arbor客户还可以向其账户管理部门或者Arbor ATAC申请最新的ASERT Mirai威胁咨询,获得详细的Arbor具体产品缓解建议。

      此外,DDoS恶意软件持续的向不同处理器架构扩展,进一步说明了网络运营商应采用网络当前最佳实践(BCP)。虽然Mirai常常把采用了弱密码的IPTV摄像机和DVR作为攻击目标,但威胁犯罪分子总是想从还未被攻破的设备那里有所斩获。随着恶意软件作者把魔爪伸向ARC和其他嵌入式处理器,DDoS恶意软件会去破坏多种连接了互联网的设备,例如,手机、游戏机等。网络运营商必须重新思考他们的防御策略,保护内部设备不被攻破,包括那些以无线方式联网的设备。如果没有主动实施网络架构和运营BCP,那么由于扫描和对外DDoS攻击所带来的附带损害后果就会非常严重。参考文献[8]和[9]提供了BCP相关参考。

 

总结

      物联网恶意软件的影响不言而喻,而且威胁形势还在不断演变。弱得不能再弱的是采用默认用户名和密码,这已经被滥用了,攻击者转向会更有收获的攻击——利用设备本身的漏洞。这在Mirai于2016年带给世界的预兆中已经有所反映——物联网设备是不安全的,会被滥用。我们认为物联网恶意软件的三个基本原理还是那样——传播、指挥和控制,以及攻击,但随着时间的推移将变得更加复杂,不断演进。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读