Охватывая более чем через год со случаем может принести нам новые способы мышления - «зомби» приходят, то трудно блокировать.
В конце 2017 года органы юстиции США объявили об осуждении создателей ботнета Мирай, создавшего «Великую Восточную объединенную сеть», первую в мире атаку ИОТ, которая нанесла хаос в восточных Соединенных Штатах в 2016 году, вновь привлекая внимание людей.
На самом деле Лейфенванг ранее предупреждал, что большие ботнеты, которые впоследствии контролировали исследователи безопасности, были намного больше, чем «зомби-армия» Мираи, например ботнет «Сатори», который намного больше, чем Мирай ». Занесло более 260 000 IP-адресов в течение 12 часов и контролировало сотни тысяч домашних маршрутизаторов, используя недавно обнаруженную уязвимость выполнения ролика маршрутизатора Huawei HG532 CVE-2017-17215 (подробнее см. Lei Feng Веб-сайт сообщает: «Огромный ботнет Сатори, направленный на китайский бренд-маршрутизатор, раскрыта личность автора»).
Но это только верхушка айсберга, теперь оказывается под контролем, «Сатори» есть более скрытые тайны и потенциальные риски. Лэй Фэн сеть с 360 сетевой безопасности Института безопасности исследователя за Ли Fengpei войти в контакт, пытаясь исследовать более скрытно «зомби» мир.
1, «Сатори» Почему направлена на маршрутизаторы Huawei, есть что-то я это делаю?
Lifeng Пей: Теперь Сатори числа активных 12 часов 260000, по нашим оценкам, общего размер должен быть около 600 000 маршрутизатора, который является уровнем «ботнет» ядерного оружия.
Satori унаследовал большое количество исходного кода Mirai, основная структура очень похожа на Mirai, но средства заражения и зараженные объекты изменились, а именно, почему маршрутизаторы Huawei, а не другие маршрутизаторы. На мой взгляд, злоумышленник должен проводить различные инфекции Попытки попасть в дыру, в которой было так много ошибок, и ударить по миллионам баз, быстро наняли 600 000 зомби и главным образом домашних маршрутизаторов.
2, мы должны обвинять производителей устройств не как «это»?
Ли Фэнпей: Это связано с цепочкой поставок, заявив, что поставщики оборудования не работают в целях безопасности, не являются объективными. Новые камеры будут иметь меры безопасности, и они фактически активно ищут способы сделать оборудование более безопасным.
Трудно справиться с проблемами - были выпущены на устройство, которое они уже существуют в сети, количество миллионов, если вы обнаружите проблемы с моделью устройства, производители также трудно контролировать. Например, эта вещь продается в стране A, C Страна не продала ее стране B, но обнаружила, что это оборудование очень велико в стране B, потому что канал управления продажами будет неоперитен, что не подлежит контролю со стороны производителя. Возможно, он не сможет найти человека, чтобы сообщить и обработать его.
После продажи некоторые из них вышли из-под контроля. Почему отечественный лучше? Внутренние часто являются закупками в промышленности, например, агентства по управлению автострадами будут сосредоточены на покупке пакета, если проблема, найти кого-то. Пока существует управление, Вот почему в Китае используется много камер, но звучит так, будто на него так сильно напали, что они выполнили свою работу, и были ли они старались изо всех сил, чтобы оправдать ожидания сообщества, еще предстоит увидеть. Суждение, мы не говорим больных людей.
3, Некоторые отчеты IoT показывают, что маршрутизаторы, камеры и принтеры являются наиболее потенциальными угрозами безопасности для Интернета вещей. Как вы думаете?
Li Fengpei: принтеры подвергаются вне сети немного меньше. Мы не из лазеек, лазейки являются потенциальными угрозами, мы видим, что на самом деле произошло, это было фактическое использование устройства. Я особенно хочу сказать, обратите внимание на домашний маршрутизатор. Исповедь, упомянутая министерством, сказала, что, когда три преступника в Мираи ввели в декабре 2016 года лазейку, зараженное устройство было внутренним маршрутизатором, а не камерой.
Основная причина заключается в том, что открытая поверхность маршрутизатора в сети достаточно велика, маршрутизатор должен иметь общедоступный сетевой адрес, его можно отключить, это является решающим. В дополнение к решающему, известные неизвестные лазейки на устройстве хранения, есть некоторые неизвестные лазейки, устройство больше Старые, также являются причиной.
Ваш домашний принтер не будет иметь прямой адрес, камера, маршрутизатор имеет общедоступный адрес. Мы хотим напомнить всем, что фактическая проблема с домашним маршрутизатором гораздо серьезнее, чем камера. И домашний маршрутизатор действительно не может быть и речи, Возможно, вы даже не понимаете, что до тех пор, пока у вас есть доступ к Интернету, люди не понимают, что маршрутизатор находится под контролем.
От домашних пользователей, если вы замедляете работу, вы можете перезапустить маршрутизатор, и вы в порядке. Злоумышленник устанавливает большую площадь за небольшую часть стоимости, и он не слишком обеспокоен скрытием своего местонахождения на зараженном устройстве.
4, Satori теперь считается идеальным решением?
Li Fengpei: влияние Satori действительно велико. Через 12 часов заражено 260 000, после того, как отчет отправлен многим другим компаниям безопасности, они подтвердили, что мы видим число. Каждый видел, как ботнет такой большой. ISP, операции Бизнес, DNS-операторы Они работали спонтанно и потребовали два дня, чтобы взять доменное имя и IP-адрес консоли от контроллеров ботнета.
Это не идеальное решение: они могут взять на себя хостинг доменных имен и мастеров IP-адресов, что может значительно замедлить эволюцию бот-сетей, однако уязвимости устройств все еще существуют, а некоторые уже знают, как это сделать тайным образом ,
5, повторите сканирование, выполните (контрольное) доменное имя в строке?
Li Fengpei: Да, стоимость очень низкая.
6, то как играть? Забитый один и вырасти один.
Li Fengpei: Да, эти меры в киберпространстве могут обуздать замедление этой угрозы. Например, злоумышленник не пронесет следующую большую развертку, забив 260 000 устройств за предыдущие 12 часов. Может быть, мы можем принять некоторые меры, а затем снизить ее 260 000 единиц будут сметены на 12 дней, но это все. Чтобы решить эту проблему в конечном итоге, нам нужны «физические» подавления правоохранительными органами и подозреваемыми в тюрьме.
Поговорите с вором, вы можете использовать вышеупомянутое пространство для обеспечения безопасности в сети, чтобы решить этот вопрос, но чтобы иметь дело с настоящими ворами Цзян Янь, можно полагаться только на правоохранительные органы. Иностранные банковские агентства будут больше обеспокоены этим вопросом, вы просто нападите на меня один раз, я получу вас Идите в тюрьму, или за мной останутся бесчисленные другие люди, даже если вы не напали на меня прямо, вы напали на моих клиентов.
эпилог
Если вы обратили пристальное внимание на прогресс уязвимости выполнения команды маршрутизатора серии CVE-2017-17215 серии Huawei HG532, вы обнаружите несколько дней назад, что China Security Bulldog TK сказал в Weibo: «Об уязвимости удаленной командной строки Huawei HG532 (CVE-2017) -17215), все связанные статьи, которые производители предоставили патчу - студентам, пишущим статьи, вы действительно видите патч? »Впоследствии, по его словам, уязвимость выполнения команд маршрутизатора Huawei HG532 серии CVE-2017-17215 может Более опасен, чем сегодня. Порт, использующий эту уязвимость, доступен только по интрасети по умолчанию и может быть удаленно удален с помощью CSRF.
Это означает, что, несмотря на то, что Сатори, похоже, молчит в связи с существующим совместным удушением, вещи далеки от завершения - и Сатори, как сказал Ли Фэн-пэй, может быть легко перестроен или обнаружена уязвимостью ТК и др. Новые формы использования могут вызывать новые угрозы.
Мир зомби, выглядите бесконечно.
Но есть еще надежда, поскольку Ли Фэнпей сказал, что дело о финансовой мести «мести» - нападение бот-сети на финансовую отрасль - настоящая потеря золота и серебра, поэтому финансовые учреждения будут сопротивляться, с оффлайн Удар, дайте таким нападающим сдерживающий фактор.
Станут ли жертвы других отраслей промышленности, практиков безопасности и правоохранительных органов «догнать»?
Ждем ответа.
