2016年10月21日,美国东海岸发生大规模网络瘫痪,原因是美国域名解析服务商Dyn公司当天遭到强大的DDoS攻击,导致涉及的网站包括twitter、paypal、github等,经排查发现这是黑客控制多台物联网设备发起的DDOS网络攻击。通过分析,确认攻击流量来自感染了Mirai僵尸网络程序的网络。设备,主要受感染的设备是闭路电视摄像机、DVR和路由器。事实上,早在2016年9月30日,黑客Anna-senpai就公开发布了Mirai僵尸网络程序的源代码。2016年8月31日,MalwareMustDie的安全分析师在其博客上发布了Mirai僵尸网络程序的详细逆向分析报告。也正是这一举动激怒了黑客,于是他们公开了Mirai的源代码,让更多的黑客组织利用它改造出更多基于Mirai的物联网僵尸网络。事实上,正如他们预料的那样,在接下来的三年时间里,各种基于Mirai的变种样本横行,通过感染大量物联网设备发起DDOS网络攻击。源代码发布后,三名黑客被抓获。在阿拉斯加法庭上,三名美国青年向法庭供述了开发Mirai僵尸网络工具的细节。同时,他们通过搭建僵尸网络获得了100个比特币。可以说,Mirai僵尸网络攻击开启了基于物联网设备的DDOS攻击。作为2019年的序曲,基于Mirai的变种样本现已被植入到全球各种物联网设备中,用于随时发动网络攻击。同时,这些恶意程序也被转化为各种窃取设备数据的后门程序。等等,未来随着5G网络的普及,物联网安全必将成为网络安全的重要领域之一。物联网设备。此前,外媒报道称,俄罗斯黑客组织DigitalRevolution声称入侵了俄罗斯国家情报局(FSB)承包商的系统,并发现了俄罗斯情报局入侵全球物联网(IoT)设备项目的细节。.名为“Fronton”的物联网僵尸网络,由承包商为俄罗斯情报机构FSB搭建,据文件时间分析,该项目已于2017年和2018年实施。事实上,随着Mirai攻击事件被曝出,全球多个黑客组织开始针对物联网设备,研究物联网僵尸网络项目,并利用它们在未来发动网络攻击,对一些国家的基础设施网络设施发起毁灭性的DDOS攻击。作者于2015年底开始研究物联网安全,在之前公司的芯片安全实验室,主要负责挖掘和研究物联网设备漏洞,包括智能门锁、智能摄像头、路由器等物联网设备。同时,他一直在研究基于物联网的安全。网络DDOS僵尸网络项目,2016年Mirai安全事件曝光,应当时公司领导的要求,在第一时间对Mirai的源代码和样本进行了详细的分析研究。通过搭建相关实验环境,在实验室中重现Mirai攻击,似乎黑客通过安全漏洞侵入各种物联网设备,下载相应的恶意程序,控制设备对目标发起DDOS攻击。2016年Mirai源代码发布后,出现了一批基于Mirai的变种样本,包括:Haijime、Persirai、DvrHelper、BrickerBot、Okiru、Satori等,基于互联网的僵尸网络变种越来越多物联网,黑客组织也在不断更新和发展各种僵尸网络恶意软件,国外安全研究人员此前分享了各种僵尸网络家族的发展图谱,如下图:图片来自网络作者使用基于Mirai的僵尸网络变种来揭示这些僵尸网络家族基于Mirai变种的攻击过程。在黑客服务器上获取到的样本如下:(1)黑客在黑客服务器上运行Loader。Loader程序扫描指定IP地址的物联网设备,并使用scanListen监听扫描到的设备。当Loader和设备连接后,通过不同的方式将BOT程序加载到对应的物联网设备中,如下图:(2)Loader程序爆破或利用漏洞攻击成功后,会下载对应的僵尸网络病毒从黑客服务器到被攻击设备一般可以在设备上使用wget/tftp等命令,如下图:(3)如果wget/tftp命令不起作用,可以使用黑客开发的dlr程序来下载相应的僵尸网络BOT病毒程序并在设备上运行,如下图所示:在设备上运行僵尸网络恶意程序,与黑客的C&C服务器通信,执行相应操作,下载程序。这些程序都是交叉编译的,可以在各种平台上运行,如下图注:黑客主要通过控制植入物联网设备的BOT程序,发起各种DDOS网络攻击。一般而言,基于Mirai变种的物联网DDOS攻击基本都遵循这个流程。整个过程其实并不复杂。现在一些高端Hacker组织会利用不同的漏洞,包括一些未公开的0day漏洞进行加载和传播。通过监控这种基于Mirai变种的物联网DDOS僵尸网络变种,确实变种越来越多。未来随着新基建的发展和5G网络的普及,基于5G网络的新型物联网设备的应用将会越来越多。未来,将会有更多的黑客组织针对各种新型物联网设备。新型物联网设备包括:手机、各类家电、车载设备、路由器、摄像头、机器人、嵌入式设备、取款机、运动手表及各类可穿戴设备、医疗设备、企业工控设备、国家军队武器装备等等,通过攻击这些物联网设备,利用这些物联网设备的一些漏洞,在这些物联网设备上植入相应的恶意程序,控制物联网设备发起DDOS攻击或者直接利用漏洞窃取物联网设备数据,进行APT攻击操作等下面我们来讨论一下新基建下物联网的安全问题,物联网架构平台上常见的安全问题:1.移动客户端APP:大部分物联网设备可以通过移动客户端APP控制APP应用OWASPTOP10安全漏洞、APP代码未受保护,逆向分析,黑客通过逆向分析智能设备APP控制程序,looki针对相关漏洞,从而达到控制智能设备的目的2.云平台:云端WEB应用或API托管,用于控制、管理和收集物联网设备数据。云WEB应用OWASPTOP10安全漏洞,云服务器DDOS攻击,数据库安全漏洞,黑客通过黑盒和白盒测试,对WEB应用平台进行安全测试和代码审计,发现云平台应用的安全漏洞(弱密码,SQL注入、访问控制绕过、命令执行、敏感数据信息泄露、XSS、SSRF、CSRF等WEB漏洞),黑客发现这些漏洞到云平台上的物联网设备,可以通过远程登录WEB管理平台进行攻击控制物联网设备,还可以获取物联网设备上传到云平台的重要数据。同时,云服务器也容易受到黑客攻击。平台发起DDOS攻击,导致物联网设备拒绝服务,无法使用。问题是黑客通过对终端设备固件的逆向分析,找到相应的漏洞(默认密码、加密密钥和算法、缓冲区溢出、堆栈溢出等),从而获得终端设备的控制权限,植入相应的恶意软件4、通信协议:RFID、蓝牙、GPS、NB-IOT、NFC、Zigbee、WIFI、射频信息协议本身存在漏洞、协议重放攻击、协议欺骗攻击等设备通信协议远程控制或欺骗物联网设备,有关的攻击方式,如:WIFI中间人攻击、RFID数据篡改攻击、WIFI密码爆破攻击、蓝牙协议嗅探重放攻击、GPS信号欺骗攻击、射频信号伪造重放攻击等。现在有一些新的网络安全公司或者一些大公司的部分安全团队从事物联网安全和产品研究,提供物联网安全服务等,物联网安全将成为未来网络安全服务的一个重要分支。随着5G网络的发展,新基建平台的建设,未来更多的传统企业将转向互联网和云平台,寻求更好的发展,通过互联网提高企业的效率。但是,随着各种平台越来越多,黑客攻击的目标也会越来越多。一般来说,黑客组织往往会选择企业防护最薄弱的地方发起网络攻击,这样可以降低攻击成本,实现利润最大化。越是普及的物联网设备,同样带来的安全问题也会越来越多,需要引起重视。笔者一直关注跟踪全球各种新型恶意软件,以及全球黑客组织的攻击动作和攻击趋势。现在基于不同平台的恶意软件太多了,而且这些黑客组织的动作非常快。一旦出现新的漏洞,就会被利用并集成到新的恶意软件中。恶意软件可以说无处不在,基于Mirai的变种越来越多。新的变种不断被发现,这些新变种利用各种漏洞进行传播。我想分享一些关于作者之前基于Mirai变体的物联网僵尸网络研究的信息。有兴趣的可以自己关注一下,也可以和作者交流,Github地址:https://github.com/pandazheng/MiraiSecurity
