Fälle, die zusammen mehr als ein Jahr dauern, können uns neue Ideen geben - "Zombies" kommen und sind schwer zu stoppen.
Ende 2017 kündigten die US-Justizbehörden die Verurteilung der Urheber des Mirai-Botnets an, das das "Great Eastern United Network" ins Leben rief, den ersten IoT-Angriff der Welt, der 2016 im Osten der Vereinigten Staaten Verwüstungen anrichtete.
Tatsächlich hatte Leifengwang davor gewarnt, dass die großen Botnetze, die anschließend von Sicherheitsforschern überwacht wurden, viel größer waren als Mirais "Zombie-Armee", wie das "Satori" -Botnet, das viel größer ist als Mirai. " Infizierte mehr als 260.000 IP-Adressen innerhalb von 12 Stunden und kontrollierte Hunderttausende von Heim-Routern mit der neu entdeckten Befehlsausführung-Schwachstelle von Routern der Huawei HG532-Serie, CVE-2017-17215 (für Details siehe Lei Feng Website berichtet "riesiges Botnet Satori an einem chinesischen Markenrouter gerichtet, die Identität des Autors wurde veröffentlicht").
Aber dies ist nur die Spitze des Eisbergs, der scheinbar hinter dem "Satori" kontrolliert wird. Es gibt mehr versteckte Gefahren und potentielle Risiken. Lifengwang und 360 Institut für Cybersicherheitsforscher Li Fengpei nehmen Kontakt auf und versuchen, diesen versteckteren "Zombie" zu erforschen Welt
1, 'Satori' warum ist auf Huawei Router ausgerichtet, was impliziert?
Li Fengpei: Jetzt, da Satori 260.000 aktive Stunden in 12 Stunden hat, schätzen wir, dass die Gesamtgröße ungefähr 600.000 Router sein sollte, was ein Botnet auf Nuklearebene ist.
Satori Mirai geerbt eine große Anzahl von Original-Code, mit Hauptstruktur Mirai ist sehr ähnlich, aber die Mittel der Infektion und infizierte Objekte hat sich geändert. Was, warum Huawei Router, Router und das andere nicht. Ich denke, dass der Angreifer eine Vielzahl von Möglichkeiten der Infektion sein sollte Versuche, ein Loch zu treffen, das so viele Bugs nahm und die Millionen von Basen traf, heuerten schnell 600.000 Zombies und vor allem Heimrouter an.
2, sollten wir Gerätehersteller nicht als "es?
Li Fengpei: Dazu gehört die Lieferkette zu sagen, ‚das nicht tun Ausrüster Sicherheitsmaßnahmen‘ nicht Ziel, die neue Kamera wird eine Sicherheitsmaßnahme hat, in der Tat, sie suchen aktiv nach Möglichkeiten, das Gerät sicherer zu machen.
Schwierig, mit Problemen umzugehen - wurden auf das Gerät veröffentlicht sie bereits online existieren, die Anzahl von Millionen, wenn Sie irgendwelche Gerätemodell Probleme finden, sind Hersteller auch schwer zu kontrollieren.Zum Beispiel, dieses Ding verkauft an Land A, C Das Land hat es nicht an Land B verkauft, aber festgestellt, dass dieses Gerät in Land B sehr groß ist - weil der Vertriebskanal geändert wird, was außerhalb des Einflussbereiches des Herstellers liegt und nicht in der Lage ist, eine Person zu informieren und damit umzugehen.
Nach dem Verkauf sind einige außer Kontrolle geraten. Warum Inland ist besser? Inländische ist oft Industrie Beschaffung, zum Beispiel, Schnellstraßen-Management-Agenturen werden sich auf den Kauf einer Charge, wenn ein Problem, jemanden finden. Solange es Management gibt, Das ist der Grund, warum China viele Kameras benutzt, aber es hört sich so an, als wäre es so schlimm angegriffen worden, weil sie ihre Arbeit gemacht haben und ob sie ihr Bestes gegeben haben, um die Erwartungen der Gemeinschaft zu erfüllen. Urteil, wir sagen keine kranken Menschen.
3, Einige IoT-Berichte berichten, dass Router, Kameras und Drucker die größten Sicherheitsbedrohungen für das Internet der Dinge darstellen.
Lifeng Pei: Der Drucker Netz ausgesetzt ist etwas weniger als von unserer Sicht Verwundbarkeit, Verletzlichkeit eine potenzielle Bedrohung ist, betrachten wir tatsächlich aufgetreten ist, die tatsächliche Nutzung der Geräte war ich möchte vor allem sagen, achten Sie auf die Home-Router US Department of Justice ... Ministerium Geständnis erwähnt, dass, wenn drei Straftäter im Dezember 2016 Mirai Injection-Schwachstelle zu tun, ist das Gerät infizierten Heim-Router, nicht die Kamera.
Der Hauptgrund ist, dass ein Router im Netzwerk freiliegenden Fläche groß genug ist, muss der Router eine öffentliche IP-Adresse haben, können Sie scannen, um aus, die von entscheidender Bedeutung ist. Neben der Definition einen Bestand von Geräten bekannte Schwachstellen nicht gepatchte, einige unbekannte Schwachstellen zu vergleichen Ausrüstung alt, sind auch Gründe.
Ihr Heimdrucker hat nicht direkt eine öffentliche Adresse, Kamera, Router hat eine öffentliche Adresse. Wir möchten alle daran erinnern, dass das eigentliche Problem mit dem Heimrouter ist viel ernster als die Kamera. Und der Router zu Hause wirklich nicht in Frage, Sie werden möglicherweise nicht einmal erkennen, dass, solange Sie Zugang zum Internet haben, Einzelpersonen nicht erkennen, dass der Router unter Kontrolle ist.
Wenn Sie langsamer werden, können Sie den Router neu starten, und es geht Ihnen gut. Ein Angreifer pflanzt einen großen Bereich zu einem Bruchteil der Kosten und ist nicht allzu besorgt, seinen Aufenthaltsort auf dem infizierten Gerät zu verbergen.
4, Satori Dinge jetzt als die perfekte Lösung betrachtet?
Li Fengpei: Satori Auswirkungen ist wirklich groß .In 12 Stunden infiziert 260.000, nachdem der Bericht an viele andere Sicherheitsunternehmen gesendet haben bestätigt, dass wir die Zahl sehen. Jeder sah, wie das Botnet so groß. ISP, Operationen Unternehmen, DNS-Betreiber Sie arbeiteten spontan und brauchten zwei Tage, um den Domänennamen und die IP-Adresse der Konsole von den Botnet-Controllern zu übernehmen.
Dies ist keine perfekte Lösung: Sie können das Hosting von Domainnamen und IP-Adressmastern übernehmen, was die Botnet-Entwicklung erheblich verlangsamen kann, jedoch gibt es immer noch Sicherheitslücken bei Geräten, und einige wissen bereits, wie man es wieder verdeckt macht .
5, noch einmal scannen, einen (Kontroll-) Domainnamen in der Zeile machen?
Li Fengpei: Ja, die Kosten sind sehr niedrig.
6, dann wie man spielt? Klopfte einen aus und züchte einen.
Li Fengpei: Ja, diese Maßnahmen im Cyberspace können die Verlangsamung dieser Bedrohung bremsen, zum Beispiel wird der Angreifer nicht den nächsten großen Schwung fegen und in den letzten 12 Stunden 260.000 Geräte überfliegen. Vielleicht können wir einige Maßnahmen ergreifen und sie dann später senken 260.000 Einheiten werden nach 12 Tagen weggefegt, aber das ist alles ... Um dieses Problem in letzter Konsequenz zu lösen, brauchen wir ein "physisches" Durchgreifen der Strafverfolgungsbehörden und der Verdächtigen im Gefängnis.
Deal mit kleinem Dieb, können Sie die Art und Weise verwenden, der Netzwerk-Sicherheitsraum zuvor erwähnten Lösungen, aber mit der realen Jiangyangdadao befassen auf Strafverfolgungsbehörden Institutionen in Übersee-Banking zu verlassen wären darüber besorgt, du mich nur noch einmal angreifen, werde ich bekommt Ihnen ins Gefängnis, kommen sonst viele Menschen mich angreifen zurück. auch wenn du mich nicht direkt angreifen, du bist mein Client funktioniert nicht angegriffen.
Epilog
Wenn Sie Aufmerksamkeit Huawei HG532 Router der Serie Befehlsausführung ermöglichen CVE-2017-17215 Fortschritt zu zahlen haben, werden Sie vor ein paar Tagen finden, Daniel TK innere Sicherheit in der Mikro-Bo sagte: ‚Über Huawei HG532 Remote Command Execution (CVE-2017 -17 215), die alle relevanten Artikel sagt Hersteller einen Patch zur Verfügung gestellt haben - Studenten Artikel schreiben, sehen Sie wirklich den Patch ‚dann, sagte er, Huawei HG532 Router der Serie Sicherheitsanfälligkeit CVE-2.017-17.215 möglich gebieten? gefährlicher als wir zur Zeit kann diese Verwundbarkeit zu sehen. Trigger nur, indem den Netzwerkzugangsanschluss in der Standardkonfiguration genutzt wird, kann die Anfälligkeit der Ferne von CSRF ausgenutzt werden.
Das bedeutet, dass, obwohl Satori unter der bestehenden Gelenkstrangulation zu schweigen scheint, die Dinge noch lange nicht vorbei sind - sowohl Satori, wie Li Feng-pei sagte, können leicht umgestaltet werden, als auch die von TK et al. Neue Nutzungsformen können neue Bedrohungen auslösen.
Zombiewelt, schau endlos.
Aber es gibt noch Hoffnung, wie Li Fengpei sagte der Fall der "Rache" Finanzindustrie - der Botnet-Angriff der Finanzindustrie ist der reale Verlust von Gold und Silber, so dass Finanzinstitutionen zurückschlagen, mit offline Strike, gib solchen Angreifern eine Abschreckung.
Werden die Opfer anderer Branchen, Sicherheitsexperten und Strafverfolgungsbehörden nach dem Ende aufholen?
Wir warten auf diese Antwort.
