安天透过北美DDoS事件解读loT设备安全
时间 : 2014年06月24日 来源: 安天
安天实验室
事件相关背景如下:美国当地时间2016年10月21日,为美国众多公司提供域名解析网络服务的Dyn公司遭DDoS攻击。Dyn公司在当天早上确认,其位于美国东海岸的DNS基础设施所遭受DDoS攻击来自全球范围,严重影响其DNS服务客户业务,甚至导致客户网站无法访问。该攻击事件一直持续到当地时间13点45分左右。该公司在官网表示将追查此事,并将发布事件的分析报告。
图1 1 Dyn官方确认
图1 2 官网事件状态更新情况
本次Dyn遭到攻击影响到的厂商服务包括:Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify、Intercom,据称PayPal、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报等的网站访问也遭到了影响。Dyn公司称此次DDoS攻击事件涉及IP数量达到千万量级,其中很大部分来自物联网和智能设备,并认为攻击来自名为“Mirai”的恶意代码。
黑客组织NewWorldHackers和Anonymous宣称对此事件负责,此事件被认为是用以抗议正在厄瓜多尔驻英国大使馆避难的维基解密创始人阿桑奇遭遇断网的事件。
其中在本次事件中被广泛关注的Mirai的主要感染对象是物联网设备,包括:路由器、网络摄像头、DVR设备。从事DDoS网络犯罪组织早在2013年开始就将抓取僵尸主机的目标由Windows转向Linux,并从x86架构的Linux服务器设备扩展到以嵌入式Linux操作系统为主的IoT设备。
安天捕获并分析了大量关于智能设备、路由器的恶意样本,并配合主管部门对部分设备进行了现场取证。这些设备主要是MIPS、ARM等架构,因存在默认密码、弱密码、严重漏洞未及时修复等因素,导致被攻击者植入木马。由于物联网设备的大规模批量生产、批量部署,在很多应用场景中,集成商、运维人员能力不足,导致设备中有很大比例使用默认密码、漏洞得不到及时修复。包括Mirai等针对物联网设备的DDoS入侵主要通过对telnet端口进行流行密码档暴力破解,或默认密码登陆,如果登陆成功,通过telnet登陆成功后就尝试利用busybox等嵌入式必备的工具进行wget下载DDoS功能的bot,修改可执行属性,运行控制物联网设备。由于CPU指令架构的不同,在判断了系统架构后一些僵尸网络可以选择MIPS、arm、x86等架构的样本进行下载。运行后接收相关攻击指令进行攻击。
从一个Mirai的样本里面可以看到如下的弱密码:
安天在此前跟进IoT僵尸网络跟踪分析过程中,发现如下包括DVR、网络摄像头、智能路由器的品牌中有部分型号存在单一默认密码问题。
图2 1 部分型号存在默认密码的设备品牌
Mirai Botnet的相关源代码于2016年9月30日被一名ID为『Anna-senpai』的用户发布在hackerforums论坛。该用户声称,代码出于『让用户增加对安全工业的重视程度』的目的而发布。在代码被公布后,相关技术立刻被运用到其他的恶意软件项目中。在2016年10月4日,这份代码被上传到github上并很快被fork逾千次。[6]
安天CERT对10月4日上传到github上的Mirai源码进行了相应分析,梳理了其代码结构:
图2 2 Mirai源码目录结构分析
泄露出的Mirai事件相关源码主要包括两部分:
(1) loader:加载器,其中存放了针对各个平台编译后的可执行文件,用于加载Mirai的实际攻击程序。
(2) Mirai:用于实施攻击的程序,分为bot(被控制端,使用C语言编写)和cnc(控制端,使用Go语言编写)两部分。
被控制端具有以下模块:
类似的“开源”行为提供了极坏的示范性,会进一步降低其他攻击者危害IoT设备的成本。鉴于此,本文不对代码进行解读。
2014年之前使用Linux系统的IoT设备被植入恶意代码主要通过扫描弱密码。但在破壳漏洞(CVE-2014-6271)[5]出现后,互联网上也出现了大量利用该漏洞进行扫描植入恶意代码事件。根据当时安天蜜罐系统捕获的情况来看,破壳漏洞出现后,针对Linux主机入侵的事件呈现全面上升趋势。安天发现的首例通过破壳漏洞实际感染的事件是在2014年9月份[6]。而后安天CERT陆续发了多篇IoT设备上的恶意代码分析报告如:《利用路由器传播的DYREZA家族变种分析》[7]、《黑客用HFS搭建服务器来传播恶意代码》[8],另有一篇《Trojan[DDOS]/Linux. Znaich分析报告》当时并未公开,因此作为本报告附件。而其他少数具备获取主机权限的漏洞也发现被攻击者利用。
安天分析小组认为,IoT僵尸网络的快速蔓延来自如下因素的组合:
1、 随着小到智能家居、大到智慧城市的物联网蓬勃发展,在线IoT设备数量大幅增加;
2、 随着作为主流桌面操作系统的Windows的内存安全(如DEP、ASLR、SEHOP)等方面的能力不断强化,依托远程开放端口击穿Windows变得日趋困难,但对于普遍没有经过严格的安全设计的IoT设备的远程注入的成功率则高的多。
3、 IoT设备自身多数未嵌入安全机制,同时其又多半不在传统的IT网络之内,等于游离于安全感知能力之外,一旦遇到问题有的也不能有效响应。
4、 IoT设备往往更多24小时在线,其是比桌面Windows更“稳定”的攻击源。
两年前,安天论述了“威胁将随‘互联网+’向纵深领域扩散与泛化”的观点[8],并使用泛化(Malware/Other)一词来说明安全威胁向智能设备等新领域的演进,而正如我们所担心的那样,安全威胁在智能汽车、智能家居、智能穿戴,大到智慧城市中已经无所不在。
图4 1 网络安全威胁泛化与分布图(引自安天2015年网络威胁年报)
正因为此,这次针对DynDNS服务的大规模DDoS事件中,安天更重视其中暴露的IoT安全问题。尽管DNS的确被很多人认为是互联网的阿喀琉斯之踵。但我们同样不要忘记,互联网是依托IP地址联通的,而域名是为便于人记忆的原因而产生的。对于北美大型行业用户来说,其更多广泛采用VPN和IP地址链接,其基本系统运转并不依赖DNS的解析。也正因为此,如此大流量的DDoS,即使给网民访问网站带来阶段性的不便,但其并不足以冲击北美社会运行和互联网的根基。从这个意义上看,这个事件的热度,更多来自媒体对公众感觉的放大,而其实际影响则相对有限。而更危险的行为是有针对性的、有放大效应的针对重要节点的威胁行动,特别是能够产生实体空间后果的威胁。
毫无疑问DNS体系是信息基础设施,但IoT僵尸网络绝不仅仅是这起攻击事件的道具。物联网就是物物相连的互联网,是未来信息社会重要基础支撑环节之一。物联网的是在互联网基础上延伸和扩展的网络,物联网并不仅仅是网络,它还可以利用感知技术、信息传感等技术的嵌入式传感器、设备及系统构建成复杂的涉及实体社会空间的应用,这些应用所在的设备很多都是维系民生的重要节点的关键基础设施设备,甚至包括关键工控设施的基础传感器。被入侵的这些设备本身具有更多的资源纵深价值,这比使用这些设备参与DDoS攻击所带来的危险更为严重。其大面积的脆弱性存在,有着更为隐蔽、危害更大的社会安全风险和国家安全风险。只是这种风险,更不容易被感知到罢了。
https://www.dynstatus.com/incidents/nlr4yrr162t8
[2] Dyn官网事件公告
https://www.dynstatus.com/incidents/5r9mppc1kb77
[3] 安天实验室,DDoS攻击组织肉鸡美眉分析
http://www.antiy.com/response/Chicken_Mutex_MM.html
[4]https://en.wikipedia.org/wiki/Mirai (malware)
https://github.com/jgamblin/Mirai-Source-Code
https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/
[5] 安天实验室,Bash远程代码执行漏洞“破壳”(CVE-2014-6271)分析
http://www.antiy.com/response/CVE-2014-6271.html
[6] 安天实验室,“破壳”漏洞相关恶意代码样本分析报告
http://www.antiy.com/response/Analysis_Report_on_Sample_Set_of_Bash_Shellshock.html
[7] 安天实验室,利用路由器传播的DYREZA家族变种分析
http://www.antiy.com/response/dyreza.html
[8] 安天实验室,黑客用HFS搭建服务器来传播恶意代码
http://www.antiy.com/response/hfs.html
[9] 安天实验室,2015年网络安全威胁的回顾与展望
http://www.antiy.com/response/2015_Antiy_Annual_Security_Report.html
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
1 概述
事件相关背景如下:美国当地时间2016年10月21日,为美国众多公司提供域名解析网络服务的Dyn公司遭DDoS攻击。Dyn公司在当天早上确认,其位于美国东海岸的DNS基础设施所遭受DDoS攻击来自全球范围,严重影响其DNS服务客户业务,甚至导致客户网站无法访问。该攻击事件一直持续到当地时间13点45分左右。该公司在官网表示将追查此事,并将发布事件的分析报告。
图1 1 Dyn官方确认
图1 2 官网事件状态更新情况
黑客组织NewWorldHackers和Anonymous宣称对此事件负责,此事件被认为是用以抗议正在厄瓜多尔驻英国大使馆避难的维基解密创始人阿桑奇遭遇断网的事件。
2 安天对智能设备僵尸网络的捕获分析情况
| 家族名称 | 变种数量 | 样本HASH数量 |
| Trojan[DDoS]/Linux.Mirai | 2 | 大于100 |
| Trojan[DDoS]/Linux.Xarcen | 5 | 大于1000 |
| Trojan[DDoS]/Linux.Znaich | 3 | 大于500 |
| Trojan/Linux.PNScan | 2 | 大于50 |
| Trojan[Backdoor]/Linux.Mayday | 11 | 大于1000 |
| Trojan[DDoS]/Linux.DnsAmp | 5 | 大于500 |
| Trojan[Backdoor]/Linux.Ganiw | 5 | 大于3000 |
| Trojan[Backdoor]/Linux.Dofloo | 5 | 大于2000 |
| Trojan[Backdoor]/Linux.Gafgyt | 28 | 大于8000 |
| Trojan[Backdoor]/Linux.Tsunami | 71 | 大于1000 |
| Worm/Linux.Moose | 1 | 大于10 |
| Worm[Net]/Linux.Darlloz | 3 | 大于10 |
安天捕获并分析了大量关于智能设备、路由器的恶意样本,并配合主管部门对部分设备进行了现场取证。这些设备主要是MIPS、ARM等架构,因存在默认密码、弱密码、严重漏洞未及时修复等因素,导致被攻击者植入木马。由于物联网设备的大规模批量生产、批量部署,在很多应用场景中,集成商、运维人员能力不足,导致设备中有很大比例使用默认密码、漏洞得不到及时修复。包括Mirai等针对物联网设备的DDoS入侵主要通过对telnet端口进行流行密码档暴力破解,或默认密码登陆,如果登陆成功,通过telnet登陆成功后就尝试利用busybox等嵌入式必备的工具进行wget下载DDoS功能的bot,修改可执行属性,运行控制物联网设备。由于CPU指令架构的不同,在判断了系统架构后一些僵尸网络可以选择MIPS、arm、x86等架构的样本进行下载。运行后接收相关攻击指令进行攻击。
从一个Mirai的样本里面可以看到如下的弱密码:
| root | admin | user | login | guest | support | oracle | netman | operator | Administrator |
| cisco | telnet | device | tech | netgear | toor | oracle | netgear1 | changeme | vizxv |
| 7ujMko0vizxv | juantech | realtek | xmhdipc | hi3518 | Zte521 | zlxx | supervisor | smcadmin | system |
| dreambox | meinsm | ubnt | klv123 | anko | xc3511 | 1234 | maxided | 12345 | 123456 |
| default | pass | vagrant | klv1234 | jvbzd | 7ujMko0admin | ikwb | password |
图2 1 部分型号存在默认密码的设备品牌
Mirai Botnet的相关源代码于2016年9月30日被一名ID为『Anna-senpai』的用户发布在hackerforums论坛。该用户声称,代码出于『让用户增加对安全工业的重视程度』的目的而发布。在代码被公布后,相关技术立刻被运用到其他的恶意软件项目中。在2016年10月4日,这份代码被上传到github上并很快被fork逾千次。[6]
安天CERT对10月4日上传到github上的Mirai源码进行了相应分析,梳理了其代码结构:
图2 2 Mirai源码目录结构分析
泄露出的Mirai事件相关源码主要包括两部分:
(1) loader:加载器,其中存放了针对各个平台编译后的可执行文件,用于加载Mirai的实际攻击程序。
(2) Mirai:用于实施攻击的程序,分为bot(被控制端,使用C语言编写)和cnc(控制端,使用Go语言编写)两部分。
被控制端具有以下模块:
| 模块文件名 | 模块作用 |
| attack.c | 用于攻击的模块,所调用的攻击子模块在其他attack_xxx.c中定义。 |
| checksum.c | 用于计算校验码的模块。 |
| killer.c | 用于结束进程的模块。 |
| main.c | 主模块。用于调用其他子模块。 |
| rand.c | 用于生成随机数的模块。 |
| resolv.c | 用于解析域名的模块。 |
| scanner.c | 用于扫描的模块,可以扫描网络上可被攻击(如使用弱口令)的设备。 |
| table.c | 用于存放经过加密的域名数据的模块。 |
| util.c | 用于提供一些实用工具的模块。 |
类似的“开源”行为提供了极坏的示范性,会进一步降低其他攻击者危害IoT设备的成本。鉴于此,本文不对代码进行解读。
3 安天对IoT僵尸网络的监测情况
| 攻击起始开始时间 | 样本家族(原厂命名) | 攻击目标 | 攻击类型 |
| 2016-10-22 9:36:48 | Mayday家族 |
203.195.*.*:15000 广州腾讯 |
tcp flood |
| 2016-10-20 8:12:57 | DDoS家族 | www.52***.com XX阁 | |
| 2016-10-20 1:36:20 | DDoS家族 |
www.ssh***.com/user.php 深圳XXXXXX公司 |
|
| 2016-10-918:52:35 | Billgates家族 |
121.199.*.* 杭州XX云 |
|
| 2016-9-5 10:57:00 | Billgates家族 |
59.151.*.* 北京XX通 |
表:典型的IoT僵尸网络攻击事件
2014年之前使用Linux系统的IoT设备被植入恶意代码主要通过扫描弱密码。但在破壳漏洞(CVE-2014-6271)[5]出现后,互联网上也出现了大量利用该漏洞进行扫描植入恶意代码事件。根据当时安天蜜罐系统捕获的情况来看,破壳漏洞出现后,针对Linux主机入侵的事件呈现全面上升趋势。安天发现的首例通过破壳漏洞实际感染的事件是在2014年9月份[6]。而后安天CERT陆续发了多篇IoT设备上的恶意代码分析报告如:《利用路由器传播的DYREZA家族变种分析》[7]、《黑客用HFS搭建服务器来传播恶意代码》[8],另有一篇《Trojan[DDOS]/Linux. Znaich分析报告》当时并未公开,因此作为本报告附件。而其他少数具备获取主机权限的漏洞也发现被攻击者利用。
4 分析小组的一点思考
安天分析小组认为,IoT僵尸网络的快速蔓延来自如下因素的组合:
1、 随着小到智能家居、大到智慧城市的物联网蓬勃发展,在线IoT设备数量大幅增加;
2、 随着作为主流桌面操作系统的Windows的内存安全(如DEP、ASLR、SEHOP)等方面的能力不断强化,依托远程开放端口击穿Windows变得日趋困难,但对于普遍没有经过严格的安全设计的IoT设备的远程注入的成功率则高的多。
3、 IoT设备自身多数未嵌入安全机制,同时其又多半不在传统的IT网络之内,等于游离于安全感知能力之外,一旦遇到问题有的也不能有效响应。
4、 IoT设备往往更多24小时在线,其是比桌面Windows更“稳定”的攻击源。
两年前,安天论述了“威胁将随‘互联网+’向纵深领域扩散与泛化”的观点[8],并使用泛化(Malware/Other)一词来说明安全威胁向智能设备等新领域的演进,而正如我们所担心的那样,安全威胁在智能汽车、智能家居、智能穿戴,大到智慧城市中已经无所不在。
图4 1 网络安全威胁泛化与分布图(引自安天2015年网络威胁年报)
正因为此,这次针对DynDNS服务的大规模DDoS事件中,安天更重视其中暴露的IoT安全问题。尽管DNS的确被很多人认为是互联网的阿喀琉斯之踵。但我们同样不要忘记,互联网是依托IP地址联通的,而域名是为便于人记忆的原因而产生的。对于北美大型行业用户来说,其更多广泛采用VPN和IP地址链接,其基本系统运转并不依赖DNS的解析。也正因为此,如此大流量的DDoS,即使给网民访问网站带来阶段性的不便,但其并不足以冲击北美社会运行和互联网的根基。从这个意义上看,这个事件的热度,更多来自媒体对公众感觉的放大,而其实际影响则相对有限。而更危险的行为是有针对性的、有放大效应的针对重要节点的威胁行动,特别是能够产生实体空间后果的威胁。
毫无疑问DNS体系是信息基础设施,但IoT僵尸网络绝不仅仅是这起攻击事件的道具。物联网就是物物相连的互联网,是未来信息社会重要基础支撑环节之一。物联网的是在互联网基础上延伸和扩展的网络,物联网并不仅仅是网络,它还可以利用感知技术、信息传感等技术的嵌入式传感器、设备及系统构建成复杂的涉及实体社会空间的应用,这些应用所在的设备很多都是维系民生的重要节点的关键基础设施设备,甚至包括关键工控设施的基础传感器。被入侵的这些设备本身具有更多的资源纵深价值,这比使用这些设备参与DDoS攻击所带来的危险更为严重。其大面积的脆弱性存在,有着更为隐蔽、危害更大的社会安全风险和国家安全风险。只是这种风险,更不容易被感知到罢了。
附录一:参考资料
https://www.dynstatus.com/incidents/nlr4yrr162t8
[2] Dyn官网事件公告
https://www.dynstatus.com/incidents/5r9mppc1kb77
[3] 安天实验室,DDoS攻击组织肉鸡美眉分析
http://www.antiy.com/response/Chicken_Mutex_MM.html
[4]https://en.wikipedia.org/wiki/Mirai (malware)
https://github.com/jgamblin/Mirai-Source-Code
https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/
[5] 安天实验室,Bash远程代码执行漏洞“破壳”(CVE-2014-6271)分析
http://www.antiy.com/response/CVE-2014-6271.html
[6] 安天实验室,“破壳”漏洞相关恶意代码样本分析报告
http://www.antiy.com/response/Analysis_Report_on_Sample_Set_of_Bash_Shellshock.html
[7] 安天实验室,利用路由器传播的DYREZA家族变种分析
http://www.antiy.com/response/dyreza.html
[8] 安天实验室,黑客用HFS搭建服务器来传播恶意代码
http://www.antiy.com/response/hfs.html
[9] 安天实验室,2015年网络安全威胁的回顾与展望
http://www.antiy.com/response/2015_Antiy_Annual_Security_Report.html
附录二:关于安天
全球超过三十家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近两亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
| 关于反病毒引擎更多信息请访问: |
http://www.antiy.com(中文) http://www.antiy.net(英文) |
| 安天企业安全公司更多信息请访问: | http://www.antiy.cn |
| 安天移动安全公司(AVL TEAM)更多信息请访问: | http://www.avlsec.com |