隐秘的 | '僵尸' | 世界: 针对中国路由器的巨型僵尸网络只是开始

一起跨越一年多的案件可能带给我们新的思考—— '僵尸' 来了, 很难挡住.

2017年年末, 美国司法部门宣布制造了 '美国东部大断网' 的Mirai 僵尸网络始作俑者认罪, 这起在 2016 年肆虐美国东部的全球首起物联网攻击再次引发了人们的关注.

事实上, 雷锋网此前已经预警, 安全研究员们随后监测到的大型僵尸网络都比 Mirai 的 '僵尸军队' 要大得多. 比如, 规模比 Mirai 大很多的 ' Satori' 的僵尸网络. Satori 在短短 12小时内感染了超过 26万个 IP 地址, 利用最新发现的华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215 (现已有处理建议) 控制了数十万台家庭路由器. (详情见雷锋网报道《巨大僵尸网络 Satori 冲着中国某品牌路由器而来, 作者身份被披露》) .

但这只是冰山一角, 现在看似被控制住的 ' Satori' 背后还有更多隐情和潜在风险. 雷锋网与360 网络安全研究院安全研究员李丰沛取得联系, 试图探索这个更隐秘的 '僵尸' 世界.

1, ' Satori' 为什么针对的是华为路由器, 有什么隐情吗?

李丰沛: 现在Satori在12个小时的活跃数是26万, 我们估计总体规模应该是在60万路由器左右, 这是核武器级别的 '僵尸网络' .

Satori大量继承了Mirai的原代码, 主体结构跟Mirai非常类似, 但是感染手段和感染对象发生了变化. 至于为什么是华为路由器, 而不是其他路由器. 我认为, 攻击者应该进行了多种感染方式的尝试, 碰巧命中了一个能拿下非常多的路由器漏洞, 而且基数以百万计, 所以很快招募到了60万台 '僵尸' , 而且主要是家用路由器.

2, 我们应该怪设备厂商 '不作为' 吗?

李丰沛: 这涉及到供应链. 说 '设备供应厂商不为安全做努力' 不客观, 新出的摄像头都会有安全措施, 他们其实也在积极寻求如何让设备更安全.

比较难处理的问题是——已经放出去的设备. 它们已经存在网上, 数量以百万计, 如果发现哪个设备型号有问题, 厂商也很难控制. 比如, 这个东西卖给了A国, C国, 没对 B国卖过, 但发现这个设备在B国非常多——因为销售管理渠道会窜货, 这就不在厂商的控制范围内了, 它可能都无法找到一个人通知和处理.

卖出去后, 有些就已经脱离控制了. 为什么国内好一点? 国内往往是行业采购, 比如, 高速公路的管理机构会集中采购一批, 如果出了问题, 好找人. 只要有管事的, 总能推得下去. 这就是为什么中国用了很多摄像头, 但听起来好像被攻击得不是那么厉害的原因. 他们是做了工作的, 至于是否百分百尽力, 是否达到社会的预期, 这个有待评判, 我们不说人家坏话.

3, 一些 IoT 报告称, 路由器, 摄像头, 打印机是物联网安全隐患最多的设备, 你怎么看?

李丰沛: 打印机暴露在外网少一点. 我们不是从漏洞来看, 漏洞是潜在威胁, 我们看的是已经实际发生的, 已经被实际利用的设备. 我特别想说, 要注意家用路由器. 美国司法部提到的认罪书说, Mirai的三个犯罪人员在2016年12月份做漏洞注入时, 感染的设备是家用路由器, 不是摄像头.

核心原因是路由器在网络上的暴露面足够大, 路由器一定有公网地址, 外面可以扫得到, 这有决定性意义. 除了决定性的一条, 存量设备已知漏洞没有修补, 有一些未知漏洞, 设备比较老, 也都是原因.

你家里的打印机不会直接有一个公网地址, 摄像头, 路由器都有一个公网地址. 我们要提醒大家, 家用路由器实际发生的问题比摄像头严重得多. 而且家用路由器真出了一点什么问题, 你可能根本没有意识到, 只要你能上网, 个人不会意识到路由器被控制.

从家庭用户来说, 如果网速变慢, 你可能会重启路由器, 你就觉得没事了. 攻击者是大面积播种, 成本很低, 他不太在意在感染设备这一端上隐匿自己的行踪.

4, Satori 的事情现在算完美解决了吗?

李丰沛: Satori的影响确实挺大的. 12小时感染26万, 报告发出去以后, 很多其他安全公司纷纷确认我们看到的数量. 每个人都看到说这个僵尸网络怎么这么大. ISP, 运营商, DNS运营商他们自发地工作, 花了两天, 把控制端的域名和IP地址从僵尸网络控制者那里接管过来.

这并不算完美解决. 他们可以接管主控的域名和 IP 地址主控, 可以显著减缓僵尸网络发展; 但是设备的漏洞仍然存在, 而且已经有人知道如何做, 可以以比较隐蔽的方式重新做一次.

5, 再扫描一次, 再做一个 (控制端) 域名就行了?

李丰沛: 对, 成本很低.

6, 那怎么玩? 打掉一个又长出来一个.

李丰沛: 是. 在网络空间做的这些措施, 可以抑制减缓这个威胁, 比如, 攻击者下次不会大张旗鼓地扫, 之前12小时扫到了 26万台设备, 也许我们采取措施后, 后来可以降低到12天扫26万台设备. 但也是仅此而已, 要归根结底彻底解决这个问题, 需要执法机关的 '肉体' 打击, 把嫌疑人关到监狱里.

对付小毛贼, 可以用前面提到的网络安全空间的方式解决, 但对付真正的江洋大盗, 只能靠执法机关. 国外银行机构会比较关注这件事, 你只要攻击我一次, 我一定把你弄到监狱, 否则后面有无数人会来攻击我. 哪怕你没有直接攻击我, 你攻击了我的客户也不行.

结语

如果你曾密切关注华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215的进展, 就会发现几天前, 国内安全大牛 TK 在微博表示: '关于华为 HG532 远程命令执行漏洞 (CVE-2017-17215) , 所有相关文章中都说厂商已经提供了补丁——写文章的同学们, 你们真的看到补丁了? ' 随后, 他称, 华为 HG532 系列路由器的命令执行漏洞 CVE-2017-17215 可能比目前大家所看到的更危险. 触发这个漏洞所利用的端口在默认配置下只能在内网访问, 该漏洞完全可以通过 CSRF 远程利用.

这意味着, 即使在现有的联合绞杀下, ' Satori' 看似沉寂着, 但事情远未结束——无论是李丰沛所说的 ' Satori' 可以轻易改头换面, 还是TK 等人发现的该漏洞的新利用形式可引发的新威胁.

僵尸世界, 一望无尽.

但还是有希望的. 就如李丰沛所说的 '有仇必报' 的金融业案例——遭到僵尸网络攻击的金融业损失的是真金白银, 所以金融机构一定会反击, 结合线下打击, 给这类攻击者产生了威慑力.

其他行业的受害者, 安全从业者与执法机构如果 '一追到底' , 结果会不会不一样?

我们等待这个答案.

2016 GoodChinaBrand | ICP: 12011751 | China Exports