Couvrant plus d'un an avec le cas pourrait nous apporter de nouvelles façons de penser - « zombies » viennent, il est difficile de bloquer.
À la fin de 2017, le ministère de la Justice a annoncé la fabrication du « grand réseau Est brisé » botnets instigatrice du plaidoyer Mirai, qui a fait rage du premier réseau des États-Unis a été attaqué une fois de plus suscité inquiétude orientale du monde en 2016.
En fait, Lei Feng avait déjà réseau d'alerte, les chercheurs de sécurité ont ensuite surveillé le botnet à grande échelle que « armée de zombies » Mirai est beaucoup plus. Par exemple, échelle beaucoup plus grande que les réseaux de zombies Mirai « Satori ». Satori court dans un court 12 heures infecté plus de 260.000 adresses IP, utilisez le routeur Huawei HG532 série de récentes découvertes de vulnérabilité d'exécution de commande CVE-2017-17215 (maintenant il y a des recommandations de traitement) pour contrôler les centaines de milliers de routeurs maison. (pour plus de détails, voir Lei Feng réseau rapporté « énorme botnet Satori dirigé vers la Chine à partir d'une certaine marque de routeur, auteur est divulgué »).
Mais ce n'est que la pointe de l'iceberg, maintenant il semble être sous contrôle, « Satori » il y a plus de secrets cachés et les risques potentiels. Lei Feng réseau avec 360 sécurité réseau chercheur sécurité Institut derrière Li Fengpei entrer en contact, en essayant d'explorer le « zombie » plus secret Monde
1, 'Satori' pourquoi est visé routeur Huawei, ce qui implicite?
Lifeng Pei: Maintenant Satori dans le nombre de 12 heures actives est 260000, nous estimons la taille globale devrait être d'environ 600 000 routeur, ce qui est le niveau de botnets de les «armes nucléaires.
Satori Mirai a hérité d'un grand nombre de code d'origine, avec la structure principale Mirai est très similaire, mais les moyens d'infection et d'objets infectés a changé. Quant à savoir pourquoi routeur Huawei, routeur et pas l'autre. Je pense que l'attaquant devrait être une variété de façons d'infection essayer, je me trouvais à frapper un routeur peut gagner beaucoup de lacunes, et la base dans les millions, et bientôt recrutée à 600000 « zombie », et surtout routeur domestique.
2, nous devrions blâmer de l'omission »les fabricants d'équipement il?
Li Fengpei: Cela implique la chaîne d'approvisionnement de dire « ne pas faire les fournisseurs d'équipement aux efforts de sécurité » non objectif, le nouvel appareil aura une mesure de sécurité, en fait, ils cherchent activement des moyens de rendre le dispositif plus sûr.
Difficile de faire face à des problèmes - ont été libérés à l'appareil, ils existent déjà en ligne, le nombre de millions, si vous trouvez des problèmes de modèle d'appareil, les fabricants sont également difficiles à contrôler.Par exemple, cette chose vendue au pays A, C Le pays ne l'a pas vendu au pays B, mais a trouvé que cet équipement est très important dans le pays B - parce que le canal de gestion des ventes sera nouveau, ce qui échappe au contrôle du fabricant, il peut être incapable de trouver une personne pour l'informer.
Après la vente, certains ont été hors de contrôle .Pour domestique est mieux? Domestique est souvent l'approvisionnement de l'industrie, par exemple, les organismes de gestion des voies express se concentrera sur l'achat d'un lot, si un problème, trouver quelqu'un.Selon la gestion, C'est pourquoi la Chine utilise beaucoup de caméras, mais on dirait qu'elle a été si mal attaquée parce qu'elle a fait son travail et qu'on n'a pas encore vu si elle a fait de son mieux pour répondre aux attentes de la communauté. Jugement, nous ne disons pas les gens malades.
3, Certains IoT signalent que les routeurs, les caméras et les imprimantes sont les menaces de sécurité les plus importantes pour l'Internet des Objets.
Lifeng Pei: L'imprimante est exposé net un peu moins de notre point de vulnérabilité de vue, la vulnérabilité est une menace potentielle, nous regardons a effectivement eu lieu, l'utilisation réelle de l'équipement a été je veux surtout dire, attention au routeur domestique Département américain de la Justice ... confession ministère a mentionné que lorsque trois délinquants font la vulnérabilité d'injection Mirai en Décembre 2016, le dispositif est un routeur domestique infecté, pas l'appareil photo.
La principale raison est qu'un routeur sur la surface exposée réseau est assez grand, le routeur doit avoir une adresse IP publique, vous pouvez numériser pour sortir, ce qui est d'une importance décisive. Outre la définition d'un stock de matériel vulnérabilités connues non corrigées, des vulnérabilités inconnues, l'équipement comparer vieux, sont aussi des raisons.
Directement à votre imprimante à domicile ne dispose pas d'une adresse IP publique, la caméra, les routeurs ont une adresse IP publique. Nous voulons vous rappeler que problème de routeur domestique effectivement produit beaucoup plus grave que la caméra. Et les routeurs maison vraiment un petit problème, vous avez probablement ne savais pas que, aussi longtemps que vous pouvez accéder au routeur, les individus non conscients d'être contrôlée.
Des utilisateurs à domicile, si des vitesses plus lentes, vous pouvez redémarrer le routeur, vous vous sentez bien. Les assaillants ont planté une grande surface, à faible coût, il ne cachés sur les appareils infectés se soucient pas de leurs allées et venues qui se terminent.
4, les choses Satori maintenant considéré encore la solution idéale?
Li Fengpei: l'impact de Satori est vraiment grand. Dans 12 heures infectées 260.000, après que le rapport est envoyé à de nombreuses autres entreprises de sécurité ont confirmé que nous voyons le numéro. Tout le monde a vu comment le botnet si gros. Opérateurs professionnels, DNS Ils ont travaillé spontanément et ont pris deux jours pour prendre en charge le nom de domaine et l'adresse IP de la console à partir des contrôleurs de botnet.
Ce n'est pas une solution parfaite: ils peuvent prendre en charge l'hébergement de noms de domaine et de maîtres d'adresses IP, ce qui peut ralentir considérablement l'évolution des réseaux de zombies, mais des vulnérabilités existent toujours et certains savent déjà le faire de manière secrète .
5, numériser à nouveau, faire un (contrôle) nom de domaine sur la ligne?
Li Fengpei: Oui, le coût est très bas.
6, comment jouer? Anéanties longtemps un après l'autre.
Li Fengpei: ces mesures font dans le cyberespace, vous pouvez supprimer ralentir cette menace, par exemple, l'attaquant ne sera pas la prochaine grande façon de balayer, balayer 12 heures avant de 26 millions d'appareils, peut-être que nous prenons des mesures plus tard peuvent être réduits. 12 jours pour balayer 260.000 appareils, mais aussi rien de plus, pour résoudre ce problème en fin de compte, la grève de la chair des organismes d'application de la loi, le suspect en prison.
Affaire avec un petit voleur, vous pouvez utiliser la façon dont l'espace de sécurité réseau solutions mentionné précédemment, mais pour faire face à la vraie Jiangyangdadao compter sur les organismes d'application de la loi sur les institutions bancaires d'outre-mer seraient plus préoccupés à ce sujet, vous me attaquez tout nouveau, je vous obtiendrai Va en prison ou il y a d'innombrables autres derrière moi, même si tu ne m'as pas attaqué directement, tu as attaqué mes clients.
Conclusion
Si vous devez porter une attention particulière Huawei vulnérabilité d'exécution de commande routeurs série HG532 CVE-2017-17215 progrès, vous trouverez il y a quelques jours, la sécurité intérieure TK Daniel dans le micro-Bo a dit: « A propos de la vulnérabilité d'exécution de commandes à distance Huawei HG532 (CVE-2017 -17 215), tout article pertinent dit les fabricants ont fourni un patch - aux élèves d'écrire des articles, vous voyez vraiment le patch « alors, dit-il, les routeurs de la série Huawei HG532 exécution de la commande vulnérabilité CVE-2017-17215 possible? plus dangereux que nous voyons actuellement. déclenchez cette vulnérabilité ne peut être exploitée en incluant le port d'accès au réseau dans la configuration par défaut, la vulnérabilité peut être exploitée à distance par CSRF.
Cela signifie que même sous la strangulation commune existante, « Satori » ce qui semble calme, mais les choses sont loin d'être terminée - que ce soit Lifeng Pei dit « Satori » peut facilement Lifting ou TK, qui a découvert la vulnérabilité de nouvelles formes d'utilisation peut conduire à de nouvelles menaces.
Monde zombie, regarde sans fin.
Mais il y a encore de l'espoir comme Lifeng Pei dit « vindicative » cas du secteur financier - la perte financière subi des attaques botnet est l'argent réel, de sorte que les institutions financières se battre, sous la ligne combinée coup porté à ce genre d'attaquant avait un effet dissuasif.
Les victimes d'autres industries, les professionnels de la sécurité et les organismes d'application de la loi si « une prise à la fin », le résultat sera différent?
Nous attendons cette réponse.
