Que abarca más de un año con el caso que nos podría llevar a nuevas formas de pensar - vienen 'zombis', que es difícil de bloquear.
A finales de 2017, el Departamento de Justicia anunció la fabricación de la 'gran Oriental roto red' botnets instigador de Mirai motivo, que duró desde la primera red del mundo desde el este de los Estados Unidos fue atacado una vez despertado preocupación en el año 2016.
De hecho, Lei Feng ya había una red de alerta, los investigadores de seguridad se controlará la botnet a gran escala de Mirai 'zombie ejército' es mucho mayor. Por ejemplo, la escala mucho más grande que las botnets Mirai 'Satori'. Satori corta dentro de un corto de 12 horas infectado a más de 260.000 direcciones IP, utilice el router de la serie Huawei HG532 de los recientes descubrimientos de CVE-2017-17215 (ahora hay recomendaciones de tratamiento) vulnerabilidad de ejecución de comandos para controlar los cientos de miles de routers domésticos. (para más detalles, véase Lei Feng informó red "enorme botnet Satori dirige a china de una determinada marca de router, se da a conocer la autoría").
Pero esto es sólo la punta del iceberg, ahora parece estar bajo control, 'Satori' hay secretos más ocultos y riesgos potenciales. Lei Feng red con seguridad 360 de la red Safety Institute investigador detrás de Li Fengpei ponerse en contacto, tratando de explorar la 'zombi' más secreto mundo.
1, 'Satori' ¿Por qué se dirige a los routers de Huawei, hay algo que lo hago?
Lifeng Pei: Ahora Satori en el número de activos de 12 horas es de 260.000, se estima el tamaño total debe estar alrededor de 600.000 router, que es el nivel de 'botnets' de armas nucleares.
Satori Mirai heredó un gran número de código original, la estructura principal Mirai es muy similar, pero los medios de la infección y los objetos infectados ha cambiado. En cuanto a por qué Huawei router, router y el otro no. Creo que el atacante debe ser una variedad de formas de infección trato, se me ocurrió para golpear un router puede ganar una gran cantidad de lagunas, y la base en los millones, y pronto reclutó a 600.000 'zombi', y sobre todo enrutador doméstico.
2, debemos culpar a los fabricantes de dispositivos 'no como'?
Li Fengpei: Consiste en la cadena de suministro para decir 'no hagas proveedores de equipos a los esfuerzos de seguridad' no objetivo, la nueva cámara tendrá una medida de seguridad, de hecho, están buscando activamente formas de hacer que el dispositivo sea más seguro.
Difíciles de tratar con los problemas - se han lanzado al dispositivo que ya existen en línea, el número de millones, si encuentra algún problema en el modelo de dispositivo, los fabricantes también son difíciles de controlar. Por ejemplo, esto se vende al país A, C El país no lo vendió al país B, pero descubrió que este equipo es muy grande en el país B porque se cambiará el canal de administración de ventas, que está fuera del control del fabricante. Puede que no encuentre a una persona que lo informe y maneje.
Después vendió, y algunos han estado fuera de control. ¿Por qué es un buen hogar? Hay adquisiciones industria nacional, por ejemplo, las autoridades de la carretera se centrará en una serie de adquisiciones, si las cosas van, gente buena equivocadas. Mientras haya de Steward, la razón siempre empuje hacia abajo. esta es la razón por china con un montón de cámaras, pero parece que el ataque no fue tan poderoso. que están haciendo un trabajo, en cuanto a si o no un esfuerzo cien por ciento, si los impactos sociales, y esto tiene que ser Juicio, no decimos personas enfermas.
3, Algunos informes de IoT indican que los enrutadores, las cámaras y las impresoras son las amenazas de seguridad más potenciales para Internet de las cosas. ¿Qué opina usted?
Lifeng Pei: La impresora está expuesta neta un poco menos desde nuestro punto de vista de la vulnerabilidad, la vulnerabilidad es una amenaza potencial, estamos mirando realmente ha ocurrido, la utilización real del equipo ha sido especial, quiero decir, prestar atención al router Departamento de Justicia de Estados Unidos ... Ministerio confesión mencionó que cuando tres delincuentes hacen vulnerabilidad de inyección de Mirai en diciembre de 2016, el dispositivo es enrutador doméstico infectado, no la cámara.
La razón principal es que un router en la superficie expuesta de la red es lo suficientemente grande, el router debe tener una dirección IP pública, puede escanear para salir, lo cual es de importancia decisiva. Además de definir un stock de equipos de vulnerabilidades conocidas sin parches, algunas vulnerabilidades desconocidas, equipos comparar Viejo, también son la razón.
Su impresora doméstica no tendrá directamente una dirección pública, la cámara, el enrutador tiene una dirección pública. Queremos recordarles a todos que el problema real con el enrutador doméstico es mucho más grave que la cámara. Y el enrutador doméstico realmente está fuera de lugar, Puede que ni siquiera se dé cuenta de que, mientras tenga acceso a Internet, las personas no se dan cuenta de que el enrutador está bajo control.
Desde usuarios hogareños, si disminuyes la velocidad, puedes reiniciar el enrutador, y estás bien. Un atacante está plantando un área grande a una fracción del costo y no está demasiado preocupado por ocultar su paradero en el dispositivo infectado.
4, cosas Satori ahora se considera la solución perfecta?
Li Fengpei: El impacto de Satori es realmente grande. En 12 horas infectadas 260,000, después de que el informe se envía a muchas otras empresas de seguridad han confirmado que vemos el número. Todos vieron cómo el botnet tan grande. ISP, operaciones Empresas, operadores de DNS Funcionaron de forma espontánea y tardaron dos días en hacerse cargo del nombre de dominio y la dirección IP de la consola de los controladores botnet.
Esta no es una solución perfecta: pueden encargarse del alojamiento de nombres de dominio y maestros de direcciones IP, lo que puede ralentizar significativamente la evolución de botnets, sin embargo, las vulnerabilidades de los dispositivos todavía existen y algunos ya saben cómo hacerlo de manera encubierta. .
5, escanear nuevamente, hacer un nombre de dominio (control) en la línea?
Li Fengpei: Sí, el costo es muy bajo.
6, ¿cómo se juega? Golpeado uno y crecer uno.
Li Fengpei: Sí, estas medidas en el ciberespacio pueden frenar la desaceleración de esta amenaza. Por ejemplo, el atacante no barrirá la próxima gran barrida, barriendo 260,000 dispositivos en las últimas 12 horas. Tal vez podamos tomar algunas medidas y luego bajarlo 260,000 unidades serán barridas por 12 días, pero eso es todo. Para resolver este problema en el análisis final, necesitamos una represión "física" por parte de los organismos encargados de hacer cumplir la ley y los sospechosos en prisión.
Se ocupa de ladrona, se puede utilizar la forma en que el espacio de seguridad de la red soluciones previamente mencionado, pero para hacer frente a la verdadera Jiangyangdadao que confiar en las fuerzas del orden instituciones bancarias en el extranjero estarían más preocupados por esto, que me acabas de atacar de nuevo, voy a tener que a la cárcel, de lo contrario muchas personas van a volver a atacarme. incluso si no me está atacar directamente, atacaste a mi cliente no funciona.
Conclusión
Si usted tiene que prestar mucha atención Huawei HG532 routers de la serie de comandos vulnerabilidad de ejecución CVE-2017-17.215 progreso, se encuentra hace unos días, la seguridad interna Daniel TK en el micro-Bo dijo: 'Acerca de Huawei HG532 Comando vulnerabilidad de ejecución remota (CVE-2017 -17 215), todo artículo pertinente dice que los fabricantes han proporcionado un parche - estudiantes escribir artículos, que realmente ver el parche ', entonces, dijo, routers de la serie Huawei HG532 comando vulnerabilidad de ejecución CVE-2017 a 17.215 posible? más peligroso de lo que actualmente vemos. activar esta vulnerabilidad sólo se puede aprovechar mediante la inclusión del puerto de acceso a la red en la configuración predeterminada, la vulnerabilidad puede ser explotada de forma remota por CSRF.
Esto significa que aunque Satori parece estar en silencio bajo el estrangulamiento conjunto existente, las cosas están lejos de terminar, ya sea que Li Fengpei puede decir que Satori puede ser fácilmente remodelado o la vulnerabilidad descubierta por TK et al. Las nuevas formas de uso pueden desencadenar nuevas amenazas.
Zombie World, mira interminable.
Pero todavía hay esperanza, como Li Fengpei dijo el caso de la industria financiera de "venganza": el ataque de botnet a la industria financiera es la verdadera pérdida de oro y plata, por lo que las instituciones financieras lucharán contra la Huelga, dales a esos atacantes un elemento de disuasión.
¿Las víctimas de otras industrias, los profesionales de la seguridad y las fuerzas del orden público se pondrán al día después del final?
Esperamos esta respuesta.