Casos que abrangem mais de um ano juntos podem nos dar novas idéias - 'zombies' estão chegando e difíceis de parar.
No final de 2017, as autoridades da justiça dos EUA anunciaram a condenação dos criadores da botnet Mirai que criou a "Great Eastern United Network", o primeiro ataque IoT do mundo que causou estragos no leste dos Estados Unidos em 2016, chamando a atenção das pessoas.
Na verdade, Leifengwang havia advertido anteriormente que as botnets grandes subsequentemente monitoradas por pesquisadores de segurança eram muito maiores que o "exército zumbi" de Mirai, como o botnet "Satori", que é muito maior do que Mirai ". Infectou mais de 260.000 endereços IP dentro de 12 horas e controlou centenas de milhares de roteadores domésticos com a vulnerabilidade de execução de comandos recentemente descoberta dos roteadores da série Huawei HG532, CVE-2017-17215 (para detalhes, veja Lei Feng O site informa "o enorme botnet Satori dirigido a um roteador da marca chinesa, a identidade do autor foi divulgada").
Mas esta é apenas a ponta do iceberg, agora aparentemente controlada por trás do "Satori", há mais perigos escondidos e riscos potenciais. O pesquisador do Instituto de Pesquisas Cybersecurity, Li Fengpei, entrou em contato, tentando explorar esse "zumbi" mais oculto Mundo
1, 'Satori', por que o objetivo é o roteador Huawei, o que implicou?
Li Fengpei: Agora que a Satori tem 260.000 horas ativas em 12 horas, estimamos que o tamanho total deve ser de cerca de 600.000 roteadores, que é um botnet de nível nuclear.
Satori herdou um grande número de códigos originais de Mirai, a estrutura principal é muito semelhante ao Mirai, mas os meios de infecção e os objetos infectados mudaram, quanto ao porquê os roteadores Huawei, e não outros roteadores. Em minha opinião, o atacante deve realizar uma variedade de infecção As tentativas de atingir um buraco que levou muitos insetos e bater nas milhões de bases rapidamente contrataram 600 mil zumbis e principalmente roteadores domésticos.
2, devemos culpar os fabricantes de dispositivos não como "isso"
Li Fengpei: isso envolve a cadeia de suprimentos, dizendo que os fornecedores de equipamentos não funcionam para a segurança não é objetivo. As novas câmeras terão medidas de segurança e, na verdade, estão buscando ativamente maneiras de tornar o equipamento mais seguro.
Difícil de lidar com os problemas - foram lançados para o dispositivo que eles já existem online, o número de milhões, se você encontrar problemas com um modelo de dispositivo, os fabricantes também são difíceis de controlar. Por exemplo, isso é vendido para o país A, C O país não vendeu para o país B, mas descobriu que este equipamento é muito grande no país B - porque o canal de gerenciamento de vendas será alterado, o que está fora do controle do fabricante. Talvez não seja capaz de encontrar uma pessoa para informá-lo e lidar com isso.
Após a venda, alguns ficaram fora de controle. Por que doméstico é melhor? Doméstica, muitas vezes, são aquisições da indústria, por exemplo, as agências de gerenciamento de vias rápidas se concentrarão em comprar um lote, se um problema, encontrar alguém. Enquanto houver gerenciamento, É por isso que a China usa muitas câmeras, mas parece que foi tão mal atacado porque eles fizeram seu trabalho, e se eles tentaram ou não fazer o melhor para atender às expectativas da comunidade ainda não foram vistos. Julgamento, não dizemos pessoas doentes.
3, alguns IoT relatam que roteadores, câmeras e impressoras são as ameaças de segurança mais potenciais para a Internet das coisas. O que você acha?
Li Fengpei: impressoras expostas fora da rede um pouco menos. Não somos as lacunas, as lacunas são ameaças potenciais, verificamos que realmente aconteceu, tem sido o uso real do dispositivo. Eu particularmente quero dizer, preste atenção ao roteador doméstico. A confissão referida pelo Ministério disse que quando os três criminosos da Mirai injetaram uma lacuna em dezembro de 2016, o dispositivo infectado era um roteador doméstico, e não uma câmera.
O motivo principal é que a superfície exposta do roteador na rede é grande o suficiente, o roteador deve ter um endereço de rede pública, pode ser varrido para fora, é decisivo. Além do decisivo, as falhas conhecidas desconhecidas no dispositivo estoque, existem algumas vulnerabilidades desconhecidas, Antigo, também são o motivo.
Sua impressora doméstica não terá diretamente um endereço público, câmera, roteador tem um endereço público. Desejamos lembrar a todos que o problema real com o roteador doméstico é muito mais grave do que a câmera. E o roteador doméstico realmente fora da questão, Você pode nem perceber que, enquanto você tiver acesso à Internet, os indivíduos não percebem que o roteador está sob controle.
De usuários domésticos, se você desacelerar, você pode reiniciar o roteador, e você está bem. Um invasor está plantando uma área grande em uma fração do custo e ele não está muito preocupado em ocultar seu paradeiro no dispositivo infectado.
4, as coisas da Satori agora são a solução perfeita?
Li Fengpei: o impacto de Satori é realmente grande. Em 12 horas, infectou 260 mil, depois que o relatório é enviado para muitas outras empresas de segurança confirmou que vemos o número. Todos viram como o botnet era tão grande. ISP, operações Negócios, Operadores de DNS Trabalharam espontaneamente e levaram dois dias para assumir o nome de domínio e o endereço IP do console dos controladores de botnet.
Esta não é uma solução perfeita: eles podem assumir a hospedagem de nomes de domínio e mapeamentos de endereço IP, o que pode diminuir significativamente a evolução do botnet, no entanto, as vulnerabilidades do dispositivo ainda existem e algumas já sabem como fazê-lo novamente de forma encoberta .
5, verifique novamente, faça um nome de domínio (controle) na linha?
Li Fengpei: Sim, o custo é muito baixo.
6, então, como jogar? Bateu um e cresce um.
Li Fengpei: Sim, essas medidas no ciberespaço podem conter o abrandamento desta ameaça. Por exemplo, o atacante não varreu a próxima grande varredura, varrendo 260 mil dispositivos nas 12 horas anteriores. Talvez possamos tomar algumas medidas e, em seguida, baixá-la 260.000 unidades serão varridas por 12 dias, mas isso é tudo. Para resolver este problema na análise final, precisamos de uma repressão "física" por parte das agências de aplicação da lei e dos suspeitos na prisão.
Trate com o ladrão, você pode usar o espaço de segurança de rede acima mencionado para resolver o caminho, mas para lidar com os verdadeiros ladrões de Jiang Yang, só pode contar com agências de aplicação da lei. As agências do banco estrangeiro estarão mais preocupadas com esse assunto, você apenas me ataca uma vez, eu vou pegar você Vá para a cadeia ou há inúmeros outros atrás de mim, mesmo que você não me atacasse diretamente, você atacou meus clientes.
Conclusão
Se você prestou muita atenção ao progresso da vulnerabilidade de execução do comando do roteador da série Huawei HG532 CVE-2017-17215, você encontrará alguns dias atrás que a China Security Bulldog TK disse no Weibo: 'Sobre a Vulnerabilidade de Execução do Comando Remoto Huawei HG532 (CVE-2017 -17 215), todos artigo relevante diz que os fabricantes têm fornecido um patch - estudantes escrever artigos, você realmente ver o patch ', então, disse ele, comandar roteadores da série Huawei HG532 vulnerabilidade de execução CVE-2017-17215 possível? mais perigoso do que vemos atualmente. desencadear esta vulnerabilidade só pode ser explorada por incluindo a porta de acesso à rede na configuração padrão, a vulnerabilidade pode ser explorada remotamente por CSRF.
Isso significa que, mesmo que Satori pareça estar em silêncio sob o estrangulamento comum existente, as coisas estão longe de terminar - ambos Satori, como Li Feng-pei disse, podem ser facilmente remodelados ou a vulnerabilidade descoberta por TK et al. Novas formas de uso podem desencadear novas ameaças.
Mundo zumbi, parece infinito.
Mas ainda há esperança, como Li Fengpei disse que o caso da indústria financeira "vingança" - o ataque botnet do setor financeiro é a perda real de ouro e prata, então as instituições financeiras vão lutar de volta, com offline Greve, dão a esses atacantes um impedimento.
Será que as vítimas de outras indústrias, profissionais de segurança e agências de aplicação da lei se recuperam após o fim?
Esperamos por essa resposta.
