概述
道高一尺魔高一丈,進化是惡意軟件的一個組成部分,因為攻擊者往往需要比白帽黑客提前一步來逃避檢測。
雖然IoT惡意軟件是從基于弱密碼的簡單攻擊開始,比如說Mirai,但是隨著惡意軟件技術(shù)的不斷發(fā)展,目前已可以采取更多戰(zhàn)略方法,如跨平臺漏洞攻擊大量設(shè)備。
默認的密碼攻擊已經(jīng)是開(白)源(菜)技術(shù)了,隨著近期對物聯(lián)網(wǎng)威脅的研究發(fā)現(xiàn),許多政府企業(yè)和消費者已經(jīng)開始使用更復雜的密碼,從而迫使攻擊者采取不同的手段進行攻擊。
IoT威脅空間最近出現(xiàn)一個名為IoTroop的新僵尸網(wǎng)絡(luò),它使用漏洞而不是弱密碼來入侵設(shè)備。劃重點,敲黑板。
IoTroop攻擊的手段利用了CVE-2017-8225,這是一個許多網(wǎng)絡(luò)攝像頭制造商使用的定制GoAhead嵌入式服務(wù)器相關(guān)的漏洞。
在這個博客中,我們將討論“MDLC”,這個高大上的詞兒意思是:惡意軟件開發(fā)生命周期,以及跟蹤POC如何被共享信息和資源的各類攻擊者武器化和使用。
與Shodan集成的攻擊腳本
我們觀察到一個攻擊者聲稱他具有與CVE-2017-8225攻擊相關(guān)的腳本以及該腳本的截圖。暗網(wǎng)中黑客論壇風云際會既視感有沒有。
攻擊者在論壇中提供了兩個腳本,第一個腳本使用Shodan查詢來dump所有受CVE-2017-8225漏洞影響設(shè)備的IP地址,這使用了一個GoAhead漏洞相關(guān) 的已知Shodan緩存結(jié)果。
現(xiàn)在一旦收集到所有易受攻擊的IP,第二個腳本將使用CVE-2017-8225來dump這些設(shè)備的憑據(jù)。這種組合將幫助業(yè)余黑客可以控制各種IoT設(shè)備,而不用擔心兩個重要問題:目標在哪里?怎么攻進去?
Netcat的反彈Shell
當一個攻擊者詢問這次攻擊形成的僵尸網(wǎng)絡(luò)的狀態(tài)時,作者回答說他需要一個VPS,他可以通過VPS來使用netcat。 一旦這樣做,很容易形成僵尸網(wǎng)絡(luò)。
在我們解剖的IoTroop感染的設(shè)備中,我們確實觀察到反向shell的netcat命令的存在。這也與Check Point的發(fā)現(xiàn)一致,所以我們猜測這個攻擊者和IoTroop作者的想法是一致的。
攻擊者合作
但腳本中存在一個小問題。為了使設(shè)置正常工作,攻擊者需要訪問Shodan Premium這個物聯(lián)網(wǎng)搜索引擎大殺器。 我們注意到這個腳本的作者跪求Shodan的登錄信息,并聲稱如果他可以訪問Shodan Premium,他將為任何目的建立僵尸網(wǎng)絡(luò)。
不久之后,我們觀察到一名用戶同意與攻擊者分享他的Shodan密碼,這將有助于用戶形成僵尸網(wǎng)絡(luò)。
在這里,這個話題沉默了,沒有問題,沒有更新。他倆是不是私聊我們不知道,我們只知道,風暴之前的大海,安靜的可怕。
CVE-2017-8225漏洞的利用代碼已經(jīng)由安全研究人員發(fā)布。 然而武器化版本的易用性和與Shodan的集成使得業(yè)余黑客更容易獲得對大規(guī)模設(shè)備的控制。這才是要點好不好?所以后來有人在論壇打臉,說他只是復制原始漏洞利用報告中的大部分代碼的時候,攻擊者也大咧咧的認了。
我們還觀察到,有一部分攻擊者已經(jīng)在使用這些腳本向現(xiàn)有的僵尸網(wǎng)絡(luò)添加更多的物聯(lián)網(wǎng)設(shè)備。這個世界永遠不缺起哄架秧子的,黑客的世界也不例外。
結(jié)論
雖然找到與攻擊有關(guān)的確切組合挺爽的,但是物聯(lián)網(wǎng)安全(或任何形式的網(wǎng)絡(luò)安全)的更大的問題是,如果有一種已知的方法來成功攻擊設(shè)備,設(shè)備被攻擊只是一個時間問題。
自從有了CVE-2017-8225漏洞,易受攻擊的大量設(shè)備在Shodan中是裸奔的,只能等待受到攻擊,目前沒有任何安全或補丁,他們現(xiàn)在很容易成為IoTroop僵尸網(wǎng)絡(luò)的一部分。畢竟老話說的好,不怕黑客黑你,就怕黑客惦記。
NewSky Security IoT Halo主動提供CVE-2017-8225攻擊嘗試的檢測。技術(shù)咨詢:info@newskysecurity.com
NewSky Security 首席研究員Ankit Anubhav
原文請參考如下鏈接:
1:
2:
3:
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!