自從Mirai物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒開源之后,其在全世界不斷留下新的“犯案”記錄,先是美國大范圍斷網(wǎng),不久之后新加坡也上演了幾乎同樣的劇情,Mirai僵尸網(wǎng)絡(luò)所到之處無不“網(wǎng)癱”。上個(gè)月底,“僵尸大軍”又讓德國幾乎處于了同樣的尷尬境地……為何Mirai會(huì)如此瘋狂?
美國斷網(wǎng)事件影響面
不得不提的是,在互聯(lián)網(wǎng)時(shí)代世界經(jīng)濟(jì)都由之來驅(qū)動(dòng),對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊,也就有了“利益”可圖,而地下黑產(chǎn)最喜歡的首當(dāng)其沖的就是DDoS這種最為古老而又十分有效的攻擊方式。據(jù)媒體先前報(bào)道稱,地下黑產(chǎn)對(duì)于DDoS攻擊致癱一家網(wǎng)站的收費(fèi)僅為50元,正是因?yàn)檫@種既得利益,驅(qū)使著地下黑產(chǎn)不斷升級(jí)壯大自己手中的“資源”。
Mirai開源之后黑客自然蠢蠢欲動(dòng),不排除是為了提供更好的“服務(wù)”而進(jìn)行測(cè)試和不斷鞏固“資源”肉機(jī)的行為,例如德國電信斷網(wǎng)事件,就很難排除這一點(diǎn),正如前不久黑客公開出租40萬Mirai“僵尸大軍”的消息,行動(dòng)已經(jīng)開始了。
德國電信受攻擊影響面
而據(jù)知道創(chuàng)宇早先發(fā)布的《變種Mirai僵尸網(wǎng)絡(luò)分析報(bào)告》顯示,德國電信遭到Mirai攻擊背后,排除政治因素外,Mirai真正的目的也許就是企圖進(jìn)一步感染更多的主機(jī)。Mirai變種代碼樣本分析顯示,在黑客利用更多的網(wǎng)絡(luò)設(shè)備漏洞尋找Mirai下一個(gè)載體的過程中,感染代碼中越來越多的出現(xiàn)了阻斷功能。
多個(gè)busybox命令被執(zhí)行
知道創(chuàng)宇404實(shí)驗(yàn)室漏洞研究人員告訴筆者,在德國電信這一事件當(dāng)中,路由器的7547端口成為攻擊入口,新的底層協(xié)議漏洞被黑客利用,而一段命令則用于在感染之后不再向之后的連接行為返回任何信息,以避免一臺(tái)主機(jī)受到感染之后再次被其它人以同樣方式進(jìn)行重新控制。
同時(shí)感染主機(jī)還會(huì)不斷向外界隨機(jī)IP發(fā)出請(qǐng)求,除了7547端口,5555端口分析顯示也受這一相關(guān)漏洞影響,從而進(jìn)一步的向外界持續(xù)感染擴(kuò)散。
ZoomEye統(tǒng)計(jì)全球仍然存在的7547端口漏洞潛在影響面
同時(shí)根據(jù)知道創(chuàng)宇ZoomEye網(wǎng)絡(luò)空間搜索引擎排查顯示,至11月29日晚,全球范圍內(nèi)仍然受7547端口命令執(zhí)行漏洞所影響的設(shè)備共計(jì)有50余萬,其中僅英國,就有221096臺(tái)潛在威脅設(shè)備,我們的亞洲近鄰印度總計(jì)也有100264臺(tái)威脅設(shè)備。而知道創(chuàng)宇還強(qiáng)調(diào),這還是其中未被感染代碼過濾阻斷的設(shè)備數(shù)量。
潛在被感染設(shè)備品牌統(tǒng)計(jì)
研究人員還對(duì)潛在被感染設(shè)備的設(shè)備類型進(jìn)行了進(jìn)一步統(tǒng)計(jì),抽取1000個(gè)IP進(jìn)一步排查顯示,其中D-Link品牌設(shè)備以37%比例排名首位,之后則是之前有分析出德國此次受影響的ZyXEL,兩個(gè)品牌以總和超過60%的比例占據(jù)絕大多數(shù)比例。
研究人員表示,Mirai在開源之后正在被更多的黑客從更多的物聯(lián)網(wǎng)設(shè)備所爆出的新漏洞中所利用并突破,對(duì)“僵尸軍團(tuán)”不斷進(jìn)行著擴(kuò)充,這對(duì)新漏洞的應(yīng)急處置來說從來沒有哪一時(shí)刻像現(xiàn)在這般緊急,不然Mirai將很難得到控制,形式將愈演愈烈,恐慌將會(huì)進(jìn)一步蔓延。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!