http81新型僵尸网络来袭,智能设备安全

日期:2020-01-24编辑作者:互联网

“与普通僵尸网络100到1000个IP节点的规模相比,已经成为一个巨型僵尸网络。”360网络安全研究院研究员李丰沛说。

当http81僵尸网络被公开曝光后,开始变得更加低调和隐蔽。据360网络安全研究院追踪分析,http81控制主机域名的IP地址已改为私网IP地址,其扫描行为也明显下降,暂时停止了大规模扫描。

与个人电脑有所不同,路由器、交换机和网络摄像头等设备一般是不间断的联网在线,并且被控后用户不易发现,是DDoS攻击的稳定攻击源,黑客利用这些稳定的受控智能设备对公共互联网上其他目标发动DDoS等网络攻击。CNCERT对Gafgyt等木马僵尸网络发动的DDoS攻击进行抽样监测和分析,发现境外控制端利用大量境内受控设备对境内外的目标发动DDoS攻击,表3是攻击流量较大的部分DDoS攻击事件数据,数据显示DDoS攻击发起方的控制端IP地址位于境外的丹麦、美国和荷兰等国家和地区,DDoS攻击受害方的目标IP也位于境外的美国、德国、土耳其、丹麦和加拿大等国家和地区,而被利用的DDoS攻击资源肉鸡则是我国大量被入侵控制的智能设备。

(责任编辑:吴起龙)

监测数据显示,http81僵尸网络主要分布在国内,尤其是北京、河南、山东、江苏、广州等地区,每日活跃的设备数量一般在2700到9500个之间。这意味着http81一旦展开DDoS攻击,国内互联网很可能成为重灾区,其他国家和地区也不能完全排除受感染或受攻击的可能性。为此360网络安全研究院发布报告披露了http81僵尸网络,向全球网络安全社区发出安全警示。

28746

360网络安全研究院发布预警称,新型僵尸网络来袭,监测显示,目前国内已有超5万台摄像头遭控制。

360网络安全研究院发现,http81僵尸网络借鉴了Mirai的端口嗅探手法和部分基础代码,但是对比僵尸网络的关键特性,http81在传播、C2通信协议、攻击向量等方面与Mirai完全不同,属于新的僵尸网络家族。

14.03

当僵尸网络被公开曝光后,开始变得更加低调和隐蔽。据360网络安全研究院追踪分析,控制主机域名的IP地址已改为私网IP地址,其扫描行为也明显下降,暂时停止了大规模扫描。

今年3月,韩国安全研究人员Pierre Kim发布了一个关于GoAhead 以及其他OEM摄像头的脆弱性分析报告,涉及多家厂商超过1250个不同型号的设备,估算全球潜在涉及的摄像头设备超过18万个。

24.54

“但是由于国内的网络摄像头等设备大多缺乏安全更新维护,只要的恶意代码没有被摄像头运维人员清除,攻击者随时可以控制主机重新上线。如果任由僵尸网络扫描感染更多设备,其防御难度也会越来越高。”李丰沛说。

Mirai之后,http81瞄上摄像头

12503

360网络研究院表示,他们正在持续监控该僵尸网络,一旦发现攻击者重新上线,将协同相关部门及时采取预防应对措施。

对普通公众来说,Mirai是在美国断网事件中“一战成名”。但在此前数个月,Mirai就已经在大规模扫描存在漏洞的物联网设备,构建遍布全球的僵尸网络。统计显示,Mirai僵尸网络已累计感染超过200万台摄像机等IoT设备。

智能设备安全:2017年我国联网智能设备安全情况报告。近年来,联网智能设备安全事件时有发生,CNCERT对相关情况开展了持续的跟踪分析。CNCERT监测发现,2017年我国联网智能设备

360预警:新型僵尸网络来袭 国内超5万台摄像头遭控制

监测数据显示,http81僵尸网络在中国已经感染控制了超过5万台网络摄像头。如果按照每个活跃IP拥有10Mbps上行带宽测算,http81僵尸网络可能拥有高达500Gbps的DDoS攻击能力,足以对国内互联网基础设施产生重大威胁。

10.53

360网络安全研究院通报说,利用已披露的漏洞,僵尸网络的幕后操控者远程入侵了大量没有及时修复漏洞的网络摄像头设备,在这些摄像头中植入恶意代码,只要发出指令就可以随时向任何目标实施DDoS攻击。由于网络摄像头属于长期在线的设备,普遍拥有比较高的带宽,相比由电脑组成的僵尸网络具备更强的杀伤力。

利用Pierre Kim披露的漏洞,http81僵尸网络的幕后操控者远程入侵了大量没有及时修复漏洞的网络摄像头设备,在这些摄像头中植入恶意代码,只要发出指令就可以随时向任何目标实施DDoS攻击。由于网络摄像头属于长期在线的设备,普遍拥有比较高的带宽,相比由电脑组成的僵尸网络具备更强的杀伤力。

14.12

暗流涌动,http81僵尸网络急剧膨胀

17749

在Mirai僵尸网络攻击造成美国东海岸大面积断网事件之后,国内也出现了控制大量IoT设备的僵尸网络。近日,360网络安全研究院发布报告,率先披露了一个名为http81的新型IoT僵尸网络。

8.81

但是由于国内的网络摄像头等设备大多缺乏安全更新维护,只要http81的恶意代码没有被摄像头运维人员清除,攻击者随时可以控制主机重新上线。如果任由http81僵尸网络扫描感染更多设备,其防御难度也会越来越高。360网络研究院正在持续监控该僵尸网络,一旦发现攻击者重新上线,360将协同相关部门及时采取预防应对措施。

3227

新型僵尸网络来袭 国内超5万台摄像头遭控制

图4漏洞(事件型)按设备类型TOP分布

http81僵尸网络也正在急剧扩张。360网络安全研究院研究员李丰沛介绍说,360全球网络扫描实时监控系统早在4月15日发现http81僵尸网络活跃度异常增加,当日扫描事件数量比平时增长4倍到7倍,独立扫描IP来源增长幅度达到40倍到60倍。4月22日,http81活跃度更是达到高峰,扫描来源的IP地址超过 57,000个。与普通僵尸网络100到1000个IP节点的规模相比,http81已经成为一个巨型僵尸网络。

湖南

15.99

27459

1、建议智能设备厂商加强产品的安全测试认证和技术防护能力,提升设备产品安全防护技术水平,做好设备产品自查工作,产品投放市场前做好安全测试,建立积极有效的应急处置措施机制,及时修复设备漏洞。

7620

陕西

15.61

12173

1918

23.18

977

河南

11.82

15.56

1、在漏洞方面,智能设备漏洞数量大幅增加。国家信息安全漏洞共享平台(CNVD)2017年公开收录智能设备通用型漏洞2440个,同比增长118%。按漏洞类型统计,占比排在前三位的类型分别是是权限绕过(27%)、信息泄露(15%)、命令执行(13%)。路由器及网关、摄像头及视频系统、机顶盒等类型设备漏洞数量多,是漏洞攻击的重要目标,利用漏洞入侵打印机等办公设备正在成为黑客窃取重要单位内部文件和数据的途径。

四川

840

甘肃

智能设备安全:2017年我国联网智能设备安全情况报告。近年来,联网智能设备安全事件时有发生,CNCERT对相关情况开展了持续的跟踪分析。CNCERT监测发现,2017年我国联网智能设备(以下简称智能设备)在安全漏洞、恶意代码及攻击活动等方面主要表现出如下特点:

通用型漏洞一般是指对某类软硬件产品都会构成安全威胁的漏洞。2017年CNVD收录通用型IOT设备漏洞2440个,与去年同期相比增长118.4%。按收录漏洞所涉及厂商、漏洞的类型、影响的设备类型统计如下:

弱口令漏洞是联网智能摄像头的一个威胁高却极易利用的漏洞,CNCERT持续关注此类漏洞修复情况。2017年12月底,CNCERT再次对部分品牌在互联网上暴露的智能摄像头及其弱口令漏洞情况进行了抽样监测分析。这些智能摄像头联网IP地址在境内分布情况见表1的第2列,江苏、浙江、山东等省的智能摄像头联网IP地址均超过5万个,其中可能存在弱口令漏洞的摄像头联网IP地址在境内分布情况见表1的第3列,浙江、广东、江苏的数量排名前3。考虑到各省市区的联网智能摄像头总数存在较大差异,我们选取弱口令漏洞摄像头百分比(某省互联网上暴露的弱口令漏洞摄像头IP数量占该省互联网上暴露的全部摄像头IP数量的百分比)反映各省市区的弱口令漏洞摄像头比例及修复情况,发现重庆、四川、福建等地区的弱口令漏洞摄像头比例相对较高,见表1的第4列。

1、恶意代码感染的硬件平台广、设备种类多。智能设备恶意代码多数支持嵌入式Linux操作系统,具有跨平台感染能力,可入侵感染Arm、Mips、X86和Powerpc等多种硬件平台架构的设备。

3912

权限绕过漏洞在CNVD收录漏洞种类数量中排名第一,本节对其中一种攻击活动非常频繁的身份权限绕过漏洞(收录号CNVD-2017-06897)进行介绍,受漏洞影响的设备是远程网络摄像机WirelessIP Camera(P2P) WIFICAM。该摄像机Web服务没有正确检查.ini配置文件的访问权限,攻击者可通过构造账号密码为空的Http请求绕过身份认证程序下载配置文件和账号凭证。根据CNCERT抽样监测数据,10月22日至12月31日期间,此类漏洞的每日攻击次数在40万次以上,其中11月7日高达3000万次,如图5所示。

CNCERT对智能设备木马僵尸网络规模进行分析,2017年下半年木马僵尸网络控制规模(单个控制服务器所控制的受控设备IP地址的累计数量)在1千以上的僵尸网络有343个,在1万以上的僵尸网络有39个,在5万以上的僵尸网络有5个。控制端主要分布在荷兰、美国、法国、意大利和俄罗斯等国家和地区,详细情况见表2。

7024

云南

1894

23.9

4966

24.94

2、建议智能设备用户及相关使用单位提高安全意识,规范设备安全配置,及时更新升级固件、修复漏洞,避免设备使用默认密码或弱密码,关闭不必要的远程服务端口。如需开放远程端口,建议配置防火墙策略、设置NAT映射和更改为非默认端口等措施,非必要情况下尽量不在设备中留存姓名、身份证、账号、电话、住址等个人信息。

15.39

CNCERT建议相关厂商和广大用户更加重视联网智能设备安全问题,做好相关网络安全防护:

1396

一、智能设备漏洞收录情况

西藏

2、受控设备数量及分布情况

11050

吉林

辽宁

图5 WIFICAM身份绕过漏洞攻击趋势图

1166

4271

24.87

1、恶意代码控制服务器数量及分布情况

部分品牌联网的弱口令摄像头IP数量

1048

图8 2017年下半年IOT恶意代码受控设备IP地址分布图

1、针对网络摄像机WIFICAM的身份权限绕过漏洞攻击

601

1667

山东

11.25

25.43

22.27

智能设备存在的软硬件漏洞可能导致设备数据和用户信息泄露、设备瘫痪、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。CNVD持续对智能设备(IOT设备)漏洞开展跟踪、收录和通报处置,2017年漏洞收录情况如下。

根据分析,除少数漏洞验证探测服务器和黑客恶意服务器,大部分发起漏洞攻击/扫描的IP地址实际上是被利用的受控智能设备或受控主机的IP地址,其中位于我国境内的IP地址约10.5万个,排名前5的是河北、新疆、辽宁、江苏和吉林,各省市详细数据见图6。

重庆

7920

CNCERT对智能设备上感染的Gafgyt、MrBlack、Tsunami、Mirai、Reaper、Ddostf等部分恶意代码的攻击活动开展抽样监测,详细情况如下。

内蒙古

图 1 IOT设备漏洞数量TOP厂商排名

808

285

山西

江苏

26402

青海

2017年下半年,抽样监测发现每日活跃的受控智能设备IP地址平均数量约2.7万个、控制服务器IP地址平均数量173个,处于持续活跃态势,7月26日至8月2日、10月17日至11月3日、11月28日至12月1日恶意代码攻击活动更加频繁,其中10月26日的单日活跃受控IP地址数量达到峰值69584个、单日活跃控制服务器IP地址数量达到峰值616个,如图9所示。

4、恶意代码攻击活动变化趋势

新疆

4062

1356

5988

二、智能设备恶意代码攻击活动情况

弱口令摄像头百分比(%)

表1 部分品牌的联网智能摄像头IP数量分布情况

黑龙江

19.6

表3 2017年 Gafgyt等僵尸网络发动DDoS攻击(10Gbps以上)的部分事件

49731

941

79763

1697

2、恶意代码结构复杂、功能模块分工精细。部分恶意代码结构复杂、分工精细,具有蠕虫式扫描和暴力破解、漏洞设备信息上报采集、漏洞攻击与木马植入、CC命令控制等多个模块,各功能模块可分布在不同的服务器或设备上,提高了监测跟踪和协调处置的难度。

2、在恶意代码攻击活动方面,境外控制服务器控制我国境内的大批量智能设备。CNCERT抽样监测发现2017年下半年我国境内感染恶意代码的受控智能设备IP地址数量约129.8万,占比最大的是浙江(14.7%)、山东(13.3%)、江苏(10.6%)。控制我国智能设备的境外控制服务器IP地址数量约1.22万个,占比最大的是美国(30.3%)、俄罗斯(12.3%)、韩国(5.5%)。受控设备规模在1万以上的智能设备木马僵尸网络有39个,控制端主要分布在荷兰(11个)、美国(11个)、俄罗斯(7个)和意大利(7个)等国家和地区,其中受控设备规模在5万以上的僵尸网络有5个。

河北

安徽

1882

20184

图6 被利用发起WIFICAM漏洞攻击的疑似受控设备IP地址境内分布图

部分品牌联网摄像头IP数量

5435

图3漏洞(通用)按设备类型TOP分布

3180

一、智能设备恶意代码特点

2017年下半年,监测发现的受控智能设备IP地址的累计数量为293.8万个,位于我国境内的受控IP数量129.8万,占比约44.1%,其中受控IP地址数量在5万以上的省份依次是浙江、山东、江苏、辽宁、河北、河南、广东、重庆, 详细分布如图8所示。

漏洞影响的设备类型包括包括手机设备、路由器、网络摄像头、会议系统、防火墙、网关设备、交换机等。其中,手机设备、路由器、网络摄像头的数量位列前三,分别占公开收录漏洞总数的45%、11%、8%,如图3所示。

广西

北京

2.7

福建

智能设备恶意代码攻击活动情况

12595

13.57

漏洞涉及厂商包括谷歌、思科、华为等厂商。其中,收录安卓生产厂商谷歌IOT设备漏洞948条,占全年IOT设备漏洞的32%;思科位列第二,共收录250条;华为和友讯科技分列第三和第四,如图1所示。

11271

4059

联网智能设备安全防护建议

7115

上海

230

湖北

漏洞类型包括权限绕过、信息泄露、命令执行、拒绝服务、跨站、缓冲区溢出、SQL注入、弱口令、设计缺陷等漏洞。其中,权限绕过、信息泄露、命令执行漏洞数量位列前三,分别占公开收录漏洞总数的27%、15%、13%,如图2所示。

2、事件型漏洞收录情况

宁夏

3240

责任编辑:金小雪

9221

图7 2017年下半年IOT恶意代码控制服务器IP地址分布图

表2 2017年下半年智能设备木马僵尸网络控制规模统计情况

江西

39.25

省市

20.42

20.82

1122

21.78

9745

3、发现设备不明异常后,及时与安全机构或厂商联系,关注CNCERT发布的相关公告,采取应对措施避免安全风险和隐患。

74253

2017年下半年,监测发现控制服务器IP地址累计数量约1.5万个,约81.7%的IP地址位于境外,排名前三的国家和地区依次为美国、俄罗斯、韩国。位于我国境内的控制服务器IP地址数量为2806个,排名前三的省市依次是北京、山东、广东,详细分布如图7所示。

11.95

63103

二、智能设备漏洞监测分析案例

15.45

9976

广东

17.03

1184

1、通用型漏洞收录情况

浙江

12.65

天津

8512

12651

6847

6647

事件型漏洞一般是指对一个具体应用构成安全威胁的漏洞,2017年CNVD收录IOT设备事件型漏洞306个。所影响的设备包括智能监控平台、网络摄像头、GPS设备、路由器、网关设备、防火墙、一卡通、打印机等。其中,智能监控平台、网络摄像头、GPS设备漏洞数量位列前三,分别占公开收录漏洞总数的27%,18%,15%,如图4所示。

图9 2017年下半年IOT恶意代码攻击活动变化趋势图

20.14

3、恶意代码变种数量多、更新升级快。由于Mirai、Gafgyt和Tsunami等恶意代码的源代码已公开,此类恶意代码的更新升级速度快、变种数量多,目前变种数量已经超过100种。9至10月份出现的Mirai变种IoT_reaper,其样本中集成了9个智能设备漏洞,变种代码将最新批露的漏洞利用代码集成进入样本中,其中一个漏洞在公开后仅2天就被集成和利用。

21.05

1966

184

1099

5984

5029

海南

243

贵州

目前活跃在智能设备上的恶意代码主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Satori,这些恶意代码及其变种可通过Telnet、SSH等远程管理服务弱口令漏洞、操作系统漏洞、Web及其他应用漏洞、密码暴力破解等途径入侵和控制智能设备。

27422

20.65

3、木马僵尸网络规模统计分析

2、部分品牌智能摄像头弱口令漏洞情况

三、受控智能设备DDoS攻击情况

图2按漏洞类型TOP分布

2270

13585

本文由江苏快3发布于互联网,转载请注明出处:http81新型僵尸网络来袭,智能设备安全

关键词:

能否获得网约车资质存疑,称司机提现问题将在

中国网科技5月8日讯(记者陈秋)易到方面向中国网科技证实,已正式获得由北京市交通委颁发的《网络预约出租车汽车...

详细>>

王者荣耀江苏快3,金融科技及企业服务营收增长

16日晚,腾讯控股公布的一季报显示,公司一季度营收及利润均超市场预期。这份财报的出炉,能否扭转腾讯控股近两...

详细>>

电子商务购物相中华夏族民共和国花销新倾向

与健康服务类商家合作,京东健康在“618”期间通过全国5000多家线下实体店,为消费者提供体检、齿科、孕产、按摩...

详细>>

江苏快3快手任命文旻为A站负责人

作为国内最早的硬核二次元社区,A站创建于2007年6月,是中国大陆第一家弹幕视频网站。作为中国二次元文化的开风...

详细>>