X

可怕的僵尸网络感染丨大东话安全

一、小白剧场


小白:东哥,我最近看到了一条新闻“数十万台无线设备被僵尸网络感染”,感觉有点怕怕的呢,东哥你有没有了解此新闻啊?


大东:作为一名时刻关注网络安全新闻时事的安全从业者,怎么会没有关注呢?


小白:那东哥能不能捋一下这件事情?


大东:当然可以。


小白:搬起小板凳,快开始吧。


大东:一句话概括呢就是,IoT Inspector安全研究人员发现芯片厂商瑞昱(Realtek)使用的软件SDK中存在严重漏洞,数十万台无线设备(涉及65家供应商)被僵尸网络利用OEM厂家的漏洞感染。


小白:65家供应商呀?感觉好多。


大东:是的,Realtek提供的无线芯片几乎被所有知名电子产品制造商使用,产品类别覆盖VoIP和无线路由器、中继器、IP摄像机和智能照明控制等具备无线联网功能的设备。


小白:所以瑞昱使用的软件SDK中存在严重漏洞,底下很多供应商的产品都会出问题。


大东:是呀,包括 AsusTEK(华硕)、Belkin(贝尔金)、D-Link、Edimax、Hama、Netgear(网件)等65家供应商,影响200种型号的数十万台设备。


小白:这个漏洞的影响力好大哦,它现在有被分配CVE号吗?


大东:这个漏洞现在被分配了CVE-2021-35395的编号,还被分配了9.8/10的严重等级。我们现在可以在官方漏洞库中查询到此漏洞。


(图片来自网络)


小白:可以可以,我一会可以看看官网文档。那这个漏洞的披露过程东哥你知道吗?


二、话说事件


大东:2021.05.17,IoT Inspector向 Realtek安全团队询问安全发送报告的方法。2021.08.13,Realtek发布其公告,并发布了易受攻击的SDK的修补版本。2021.08.16,90天披露窗口结束,IoT Inspector发布该漏洞及建议。


小白:哎呀,Realtek瑞昱发布修补版本的时间仅比IoT Inspector发布披露的时间早了三天,所以相关的设备所有者只有很短的时间来打补丁。


大东:是的,在2021.08.18,该漏洞公开披露仅两天后,黑客就开始发起了攻击。


小白:那估计会影响什么设备呢?


大东:估计会影响许多暴露在互联网上的无线设备,从家庭网关和旅行路由器到Wi-Fi中继器、IP摄像机和智能闪电网关或联网玩具。


小白:有没有具体型号什么的?


大东:有的,据统计,该僵尸网络针对的使用有缺陷的Realtek SDK的最常见设备是 Netis E1+扩展器、Edimax N150和N300 Wi-Fi路由器以及Repotec RP-WR5444路由器,主要用于增强Wi-Fi接收。


小白:厂商和使用者应该要赶紧核实一下自己的设备是否受影响,然后打相关的补丁。


大东:对,这里有部分厂家和受影响型号的截图。


受影响厂商和型号(图片来自网络)


小白:嗯嗯,我搞清楚这件事情了,不过,东哥,你能不能再顺便讲一下僵尸网络啊?


大东:当然可以,我也准备借着此次事件来说一下僵尸网络呢。


小白:好啊好啊。


大东:小白,你现在了解到的恶意代码都有什么呢?


小白:嗯,有病毒、蠕虫、木马等。


三、大话始末


大东:僵尸网络是一种新的信息安全威胁方式,它结合了病毒、木马、蠕虫技术。


(图片来自网络)


小白:好可怕。那僵尸网络岂不是结合各家所长?


大东:是的,僵尸网络具备传播性、高度可控、有窃密性、危害性高的特点。不过僵尸网络最重要的特点是它的行为像僵尸一样。


小白:这个怎么讲?


大东:僵尸网络是指在控制者和被感染主机之间形成的一个可一对多控制的网络,它采用一种或者几种传播手段,将大量主机感染僵尸程序病毒。


小白:就是攻击者通过各种途径传播僵尸程序,并感染互联网上的大量主机。


大东:没错,被感染的主机会通过控制信道接收攻击者的命令,组成一个僵尸网络。因为众多被感染的计算机在不知不觉中被人驱赶和指挥,成为被人利用的一种工具,如同僵尸群一样,所以被称为僵尸网络。


小白:哈哈,这个名称还蛮形象的嘛。那僵尸网络由什么组成呢?


大东:如前所述, 典型的僵尸网络由僵尸服务器(通常是一台IRC服务器)和一个或多个的僵尸客户端组成的。


小白:客户端的分布有局限吗?


大东:没有,正因为僵尸客户端的分布不局限于某个国家或地区,因此对于追踪溯源有一定的难度,很可能在追查过程中会涉及到国际协同调查及合作,相比遭受损失的企业、机构或个人而言,对僵尸网络的调查取证实在过于繁琐,以至于很多情况下不得不终止调查。


小白:那从技术角度,僵尸网络一般由什么构成呢?


大东:从技术模块大致可分为三个模块:扫描模块、驻留模块、功能模块。


小白:它们分别的作用是什么呢?


大东:扫描模块用来扫描和传播僵尸网络病毒的,驻留模块能够隐匿驻留在目标系统中,功能模块则在驻留模块驻留之后执行僵尸牧人所设定的指令。从模块构成来看也可以看做是病毒、木马模块相结合。


小白:僵尸网络的危害是不是也是结合病毒、木马等恶意软件的?


大东:没错,但是除此之外,僵尸网络也有不同于传统病毒的危害。


小白:比如有什么呢?


大东:比如说感染其他系统成为新的僵尸客户端;DDos攻击,利用大量的僵尸客户端对同一系统/设备发起攻击;广告点击欺骗,比如欺骗点公司的广告赚取费用;发送垃圾邮件及网络钓鱼;存储和分配非法(盗版)知识产权资料;勒索;根据已感染的僵尸客户端进行数据挖掘(或包含键盘记录功能),获取客户端系统有利用价值的资料;利用僵尸客户端进行比特币挖矿。


小白:好多危害,不愧是病毒的结合体。


大东:而且如今的僵尸网络技术也在不断进步,除了之前使用IRC服务器作为C&C,现在还有利用域名解析方式将域名作为C&C地址;利用基于Web系统的服务器作为C&C地址并作为指令交互的方式;使用P2P网络分散管理僵尸客户端及C&C;基于即时消息工具的僵尸网络;基于FTP的僵尸网络C&C。

小白:了解了解,不过这些技术细节还是需要我之后再好好推敲推敲。


大东:好滴,小白你加油。


四、小白内心说


小白:东哥,这次的新闻是不是说明物联网设备也成为了僵尸网络感染的新一代目标?


大东:随着物联网的快速发展以及更加广泛的应用,物联网的网络安全问题已经成为当前的一个研究热点问题。曾有一份报告指出,物联网设备已经成为黑客的新一代目标,路由器则是黑客攻击的首选目标。而且物联网的恶意软件主要通过其网络安全漏洞传播,DDoS攻击也成为了物联网恶意软件的主流功能。


小白:因为现在有越来越多的物联网设备开始接入互联网,冰箱、灯等物品也开始接入互联网了。


大东:但是物联网设备相对其他设备存在防护困难的问题,还有对对安全性的忽视,使得物联网设备里的应用程序体异常脆弱,很容易被攻击者发现漏洞并利用。


小白:估计人们很容易就遗忘它们的存在了。软件倒是会经常更新版本。


大东:而且物联网设备存在设备分散、责权不清,无法远程升级等问题。


小白:好难啊。


大东:不止这样,由于物联网设备的计算能力比较弱,对于攻击的溯源难度提高。


小白:难上加难。


大东:Mirai僵尸网络就是由大量可受控物联网设备组成的庞大网络,它曾导致美国大范围网络瘫痪。


小白:具体是什么事件呢?


大东:Mirai僵尸网络最早出现在2016年8月,它发起了针对Krebs的大规模DDoS攻击。2016年10月21日,Mirai僵尸网络导致美国断网。而这之后,Mirai连续发动了针对新加坡、利比里亚、德国的DDoS攻击。


小白:美国断网是什么情况呢?


大东:美国域名解析服务提供商Dyn公司遭到了严重的DDoS攻击,造成了美国东部大面积的网络瘫痪,包括Twitter、Facebook在内的多家美国网站无法通过域名访问。


小白:僵尸网络这么可怕,要怎么预防呢?


大东:可以通过安全检测来检测是否收到了僵尸网络的攻击。基于异常的检测、基于DNS流量的检测还有基于蜜罐的检测。


小白:哦哦,那物联网该采取什么样的措施来防止感染呢?


大东:首先,仔细检查所有连接到其网络的物联网设备。其次,要更改默认密码。还有确保连接到网上的每个设备都在添加了最新的补丁。


小白:好滴,感谢东哥,今天又获得了很多知识。


参考资料:

1. 惊!数十万台涉及65家无线设备被僵尸网络利用OEM厂家漏洞感染

https://mp.weixin.qq.com/s/4nlVqRe2drS5vFWxaARHmA

2. 僵尸网络百度百科

https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E5%83%B5%E5%B0%B8/8190722

3. Mirai僵尸网络

https://blog.csdn.net/zheng_zmy/article/details/106769690


来源:中国科学院信息工程研究所