一起跨越一年多的案件可能帶給我們新的思考—— '殭屍' 來了, 很難擋住.
2017年年末, 美國司法部門宣布製造了 '美國東部大斷網' 的Mirai 殭屍網路始作俑者認罪, 這起在 2016 年肆虐美國東部的全球首起物聯網攻擊再次引發了人們的關注.
事實上, 雷鋒網此前已經預警, 安全研究員們隨後監測到的大型殭屍網路都比 Mirai 的 '殭屍軍隊' 要大得多. 比如, 規模比 Mirai 大很多的 ' Satori' 的殭屍網路. Satori 在短短 12小時內感染了超過 26萬個 IP 地址, 利用最新發現的華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215 (現已有處理建議) 控制了數十萬台家庭路由器. (詳情見雷鋒網報道《巨大殭屍網路 Satori 衝著中國某品牌路由器而來, 作者身份被披露》) .
但這隻是冰山一角, 現在看似被控制住的 ' Satori' 背後還有更多隱情和潛在風險. 雷鋒網與360 網路安全研究院安全研究員李豐沛取得聯繫, 試圖探索這個更隱秘的 '殭屍' 世界.
1, ' Satori' 為什麼針對的是華為路由器, 有什麼隱情嗎?
李豐沛: 現在Satori在12個小時的活躍數是26萬, 我們估計總體規模應該是在60萬路由器左右, 這是核武器級別的 '殭屍網路' .
Satori大量繼承了Mirai的原代碼, 主體結構跟Mirai非常類似, 但是感染手段和感染對象發生了變化. 至於為什麼是華為路由器, 而不是其他路由器. 我認為, 攻擊者應該進行了多種感染方式的嘗試, 碰巧命中了一個能拿下非常多的路由器漏洞, 而且基數以百萬計, 所以很快招募到了60萬台 '殭屍' , 而且主要是家用路由器.
2, 我們應該怪設備廠商 '不作為' 嗎?
李豐沛: 這涉及到供應鏈. 說 '設備供應廠商不為安全做努力' 不客觀, 新出的攝像頭都會有安全措施, 他們其實也在積極尋求如何讓設備更安全.
比較難處理的問題是——已經放出去的設備. 它們已經存在網上, 數量以百萬計, 如果發現哪個設備型號有問題, 廠商也很難控制. 比如, 這個東西賣給了A國, C國, 沒對 B國賣過, 但發現這個設備在B國非常多——因為銷售管理渠道會竄貨, 這就不在廠商的控制範圍內了, 它可能都無法找到一個人通知和處理.
賣出去後, 有些就已經脫離控制了. 為什麼國內好一點? 國內往往是行業採購, 比如, 高速公路的管理機構會集中採購一批, 如果出了問題, 好找人. 只要有管事的, 總能推得下去. 這就是為什麼中國用了很多攝像頭, 但聽起來好像被攻擊得不是那麼厲害的原因. 他們是做了工作的, 至於是否百分百儘力, 是否達到社會的預期, 這個有待評判, 我們不說人家壞話.
3, 一些 IoT 報告稱, 路由器, 攝像頭, 印表機是物聯網安全隱患最多的設備, 你怎麼看?
李豐沛: 印表機暴露在外網少一點. 我們不是從漏洞來看, 漏洞是潛在威脅, 我們看的是已經實際發生的, 已經被實際利用的設備. 我特別想說, 要注意家用路由器. 美國司法部提到的認罪書說, Mirai的三個犯罪人員在2016年12月份做漏洞注入時, 感染的設備是家用路由器, 不是攝像頭.
核心原因是路由器在網路上的暴露面足夠大, 路由器一定有公網地址, 外面可以掃得到, 這有決定性意義. 除了決定性的一條, 存量設備已知漏洞沒有修補, 有一些未知漏洞, 設備比較老, 也都是原因.
你家裡的印表機不會直接有一個公網地址, 攝像頭, 路由器都有一個公網地址. 我們要提醒大家, 家用路由器實際發生的問題比攝像頭嚴重得多. 而且家用路由器真出了一點什麼問題, 你可能根本沒有意識到, 只要你能上網, 個人不會意識到路由器被控制.
從家庭用戶來說, 如果網速變慢, 你可能會重啟路由器, 你就覺得沒事了. 攻擊者是大面積播種, 成本很低, 他不太在意在感染設備這一端上隱匿自己的行蹤.
4, Satori 的事情現在算完美解決了嗎?
李豐沛: Satori的影響確實挺大的. 12小時感染26萬, 報告發出去以後, 很多其他安全公司紛紛確認我們看到的數量. 每個人都看到說這個殭屍網路怎麼這麼大. ISP, 運營商, DNS運營商他們自發地工作, 花了兩天, 把控制端的功能變數名稱和IP地址從殭屍網路控制者那裡接管過來.
這並不算完美解決. 他們可以接管主控的功能變數名稱和 IP 地址主控, 可以顯著減緩殭屍網路發展; 但是設備的漏洞仍然存在, 而且已經有人知道如何做, 可以以比較隱蔽的方式重新做一次.
5, 再掃描一次, 再做一個 (控制端) 功能變數名稱就行了?
李豐沛: 對, 成本很低.
6, 那怎麼玩? 打掉一個又長出來一個.
李豐沛: 是. 在網路空間做的這些措施, 可以抑制減緩這個威脅, 比如, 攻擊者下次不會大張旗鼓地掃, 之前12小時掃到了 26萬台設備, 也許我們採取措施後, 後來可以降低到12天掃26萬台設備. 但也是僅此而已, 要歸根結底徹底解決這個問題, 需要執法機關的 '肉體' 打擊, 把嫌疑人關到監獄裡.
對付小毛賊, 可以用前面提到的網路安全空間的方式解決, 但對付真正的江洋大盜, 只能靠執法機關. 國外銀行機構會比較關注這件事, 你只要攻擊我一次, 我一定把你弄到監獄, 否則後面有無數人會來攻擊我. 哪怕你沒有直接攻擊我, 你攻擊了我的客戶也不行.
結語
如果你曾密切關注華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215的進展, 就會發現幾天前, 國內安全大牛 TK 在微博表示: '關於華為 HG532 遠程命令執行漏洞 (CVE-2017-17215) , 所有相關文章中都說廠商已經提供了補丁——寫文章的同學們, 你們真的看到補丁了? ' 隨後, 他稱, 華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215 可能比目前大家所看到的更危險. 觸發這個漏洞所利用的通信埠在預設配置下只能在內網訪問, 該漏洞完全可以通過 CSRF 遠程利用.
這意味著, 即使在現有的聯合絞殺下, ' Satori' 看似沉寂著, 但事情遠未結束——無論是李豐沛所說的 ' Satori' 可以輕易改頭換面, 還是TK 等人發現的該漏洞的新利用形式可引發的新威脅.
殭屍世界, 一望無盡.
但還是有希望的. 就如李豐沛所說的 '有仇必報' 的金融業案例——遭到殭屍網路攻擊的金融業損失的是真金白銀, 所以金融機構一定會反擊, 結合線下打擊, 給這類攻擊者產生了威懾力.
其他行業的受害者, 安全從業者與執法機構如果 '一追到底' , 結果會不會不一樣?
我們等待這個答案.
