小结
目前没有证据表明攻击者是否已经利用 Hide’n Seek 僵尸网络发动了攻击,但是从其控制的主机数 量来看,能发动的攻击最大可以达到 900Gbps,这已经接近了 2016 年 Mirai僵尸网络的 DDoS攻击高峰。 如果用户购买并部署了 DDoS 缓解相关的服务或者设备,需要及时做好相应的检测与防护。
IoTroop 针对金融机构
的多起 DDoS 攻击活动#### 事件回顾
在 2017 年 10 月 29 日,Check Point 在其发布的技术报告中表示,他们的安全团队发现了一个代 号为 IoTroop 的新型僵尸网络 [6] 。网络安全公司 RecordedFuture 的威胁研究小组 Insikt Group 基于僵 尸网络基础设施 的使用和攻击的时间的分析,推断了该僵尸网络在短短一天内就连续发动了三次针对不 同金融机构的 DDoS 攻击。
第一起攻击事件发生在 2018 年 1 月 28 日 18:30 左右,至少 1.3 万台拥有唯一的 IP 地址物联网 设 备实施了 DNS 放大攻击,攻击峰值流量达到了 30 Gbps。第二起攻击事件几乎是与第一起攻击事件同 时发生的。Insikt Group 认为这两起攻击是由相同的 Mirai 变种僵尸网络发起的,因为在第二次攻击事 件中,与受害者企业的服务进行了通信的 26 个 IP 地址中,有 19 个参与了对第一家金融机构的攻击。 2018 年 1 月 28 日 21:00 左右,仅在前两起事件发生后的短短几个小时内,又发生了第三起针对 TCP 443 端口的攻击事件,尽管技术上的细节没有被公开,但三起事件的时间之短,是可能存在相关性的。 根据之前对恶意软件的分析,IoTroop 借用了一部分 Mirai 的代码。与 Mirai 类似,该恶意软件针对 的是网络设备,例如由普联(TP-Link)、Avtech、MikroTik、Linksys、Synology 和 GoAhead 等公司制 造的路由器和摄像头 。据 Insikt Group 称,在这个僵尸网络中,有 80%的设备是受感染的 MikroTik路由器, 其余 20% 由其他多种物联网设备组成,包括 Ubiquity、Cisco 和 ZyXEL路由器等设备。
小结
继 2016 年 Mirai 事件之后,多种恶意软件 家族对物联网设备发起攻击,使大量脆弱的物联网设备 沦为僵尸网络的一部分,成为 DDoS 攻击的直接攻击者。Mirai 家族,例如本事件中的 IoTroop,以及 其他如 SORA、OMG、OWARI、Omni 等各类变种恶意软件也被检测到有不同的活跃情况。其他家族如Gafgyt 在 2018 年也有一定的活跃程度,有关这这些家族的详细分析,见章节 3.5.2 。随着物联网设备 的逐步广泛地应用,对物联网设备恶意软件检测能力和修复能力也需要安全厂商、物联网设备生产厂商 和物联网用户一起建立和完善。
VPNFilter 感染约 万台物联网设备,或与国家行为有关
事件回顾
2018 年 5 月 23 日,思科的 Talos 团队在其官网发布了一个报告 [19] ,公开了一个名为“VPNFilter” 的恶意软件的行为。经过与合作伙伴、执法部门的合作,该团队最终估算出有至少 50 万台设备受到感 染,分布范围超过了 54 个国家。2018 年 6 月 8 日,思科更新了该恶意软件影响的设备的厂商,包括: 华硕(Asus)、友讯(D-Link)、华为(Huawei)、Linksys、MikroTik、网件(Netgear)、威连通(QNAP)、 普联(TP-Link)、Ubiquiti、Upvel 和中兴(ZTE)[20] 。VPNFilter 控制的 50 万台设备均为网络设备, 如路由器、防火墙等,试想这些设备的网络转发功能遭到破坏,受到影响的设备很可能从 50 万台设增 加到数百万台。
与其他事件不同的是,思科推测该恶意软件可能与国家行为有关,原因是:VPNFilter 利用了 BlackEnergy 的一部分代码(BlackEnergy 的攻击是在 2015 年发生的,也就是著名的乌克兰电厂事件, 22.5 万的乌克兰人民在黑暗中度过了 6 小时 [42] )。2018 年 7 月 13 日,乌克兰声称拦截了一起针对某 化工厂的攻击行为,攻击手法也是借助了 VPNFilter 恶意软件,意欲破坏化工厂的正常运转,乌克兰反 间谍部门将该攻击归于俄罗斯的入侵 [18] 。
原理简介
VPNFilter 的原理比较复杂,具体可参见 Talos 在其博客上发布的相关细节 [19] ,这里简单描述该 恶意软件的行为。VPNFilter 分三个阶段。阶段 1 建立加密连接(非标准的 RC4),并从 photobucket. com 下载图片,从图片的地理位置信息中解析出 C&C的 IP;阶段 2 包含覆盖硬盘(使设备变砖)并与 C&C服务器通信配置代理;阶段 3 嗅探流经设备上的数据包,并尝试找到认证相关的信息。
小结
正因是疑似国家行为,VPNFilter恶意软件的功能和实现比较复杂,大大增加了研究员分析的难度。 安全厂商及时捕获并分析到该软件的恶意行为,有助于及时针对该恶意软件做好检测与预防。如果这样 的恶意软件的攻击目标是国内关键信息基础设施,那我们是否有能力及时检测并分析出恶意软件行为, 值得深思。
台积电生产线被勒索,停产损失超 亿
事件回顾
2018 年 8 月 3 日 ~2018 年 8 月 6 日,中国台湾的台积电有三家工厂因遭遇病毒而停工,造成亏损 超过十亿元人民币。据台积电总裁魏哲家所说,该病毒是因为工人没有按照安全规范,在上线前对新产 品进行隔离并做安全检查就直接上线,导致恶意软件感染了生产线和总部。魏哲家称目前尽量减少因延 迟交货对客户的影响是努力方向,同时也表明“不认为人为定制病毒针对台积电”[22] 。 台积电这次事件的时间比较巧合,其一,该事件刚好是苹果、华为的发布会前期,应是生产紧张的 阶段;其二,该事件刚好发生在原总裁张忠谋交接新班子的两个月后 [23] 。众人对此说法不一。不过该 事件得到妥善处理,后续没有因这次病毒感染事件产生其他不良影响。
小结
内部有大量的工控设备的企业,其设备和系统长期不更新,导致安全风险非常大。随着勒索软件、 国家层面的恶意攻击频发,石油化工、冶金、电力、轨道交通、烟草等国家重点行业面临前所未有的网 络安全威胁 [24] 。不仅仅是设备老旧的问题会导致企业面临安全风险,其内部人员管理也需要跟进物联 网发展潮流,2018 年 11 月底,三星的 11 名员工买卖 OLED曲面屏技术,牟利 155 亿韩元 [27] 。面临 这种情况,企业不仅要对各类设备设置安全策略,更应该在企业管理方面增加安全方面的投入,确保公 司的网络安全同时,也要确保信息不会因为人员离职而被泄露。
UPnProxy 脆弱性使 万个内网敞开,威胁众多企业和家庭
事件回顾
2018 年 11 月 28 日,Akamai 在其博客网站 [9] 的一篇博文中提到:在 350 万台设备中,有 27.7 万 台运行着存在漏洞的 UPnP 服务,已确认超过 4.5 万台设备在 UPnP NAT 注入活动中受到感染。这些注 入攻击将路由器背后的内网设备暴露到互联网上,将有助于黑客渗透进更多的内网设备,进一步攻击家 庭,威胁智能家居的运行安全和个人隐私,甚至在 BYOD场景中继续渗透企业。
其实,早在 2013 年 Rapid 7 就发布了《Security Flaws in Universal Plug and Play》,报告总结了对 UPnP 脆弱性的研究结论,其中包含了对互联网上暴露的资产做漏洞扫描的实验。所有暴露在互联网上 的设备中,超过 8000 万台设备开放了 UPnP 服务。报告中阐述的多种攻击手段中至少一种会影响其中 约 4000~5000 万的设备,当中有 2300 万台设备,仅仅通过发送单个 UDP数据包,就可以使设备执行 系统命令。
