技術分析：智能硬體蠕蟲威脅互連網安全

標籤：

讀後感：物聯網真正到來的時候對網路安全將產生極大挑戰，將來感知層裝置已不僅僅是一個簡單的嵌入式裝置了，而是作為效能強勁的主機存在，但這些裝置的安全防護顯然是不能跟我們使用的主機相比的，所以極具危害。

原帖地址：http://www.freebuf.com/articles/terminal/55382.html

引用：

前日起（12月10日）全球互連網範圍DNS流量異常。雲堤團隊（DamDDoS）迅速參與分析處置。本次事件攻擊自12月10日淩晨起至今仍在持續，為近年來期間最長的DNS DDoS攻擊，目前已監測到的攻擊最大流量近1億Qps（約合76.38Gbps）

跟蹤：

12月10日,DNS異常故障時期，360網路攻防實驗室的小夥伴也在跟進此問題。之前定位到*.arkhamnetwork.org; *.arkhamnetwork.com（針對某遊戲服務提供者的權威網域名稱伺服器進行攻擊，最後服務商解析內容fraud.ddos.go.away,投降）360的遞迴DNS緩衝被攻擊的流量大概30000QPS，使用的攻擊方法是：通過發起對隨機首碼網域名稱查詢的解析請求造成對遞迴服務拒絕服務。

是根據360大資料安全分析可視化平台發現一台BOT終端解析網域名稱的情況，這個攻擊特徵非常明顯，而且攻擊方法也非常粗暴。

通過下面這張圖片分析到遭受拒絕服務的攻擊的不止*.arkhamnetwork.org; *.arkhamnetwork.com，這兩個根網域名稱。其主要的兩個DNS伺服器是ns11.dnsmadeeasy.com和ns12.dnsmadeeasy.com,其中有很多台類似IP:167.114.25.179這樣的bot發起了很多針對*.arkhamnetwork.org的DNS拒絕服務的攻擊請求。造成兩台nameserver拒絕服務。

深入分析，這些IP地址大多數都是路由器、智能網路攝影機等裝置。起初攻擊者是通過這些遠程命令執行，或者弱口令等方式獲得系統許可權。然後植入蠕蟲程式，指令碼運行後這個蠕蟲的網路活動是在不斷的掃描任意C段的23號連接埠，利用弱口令去抓更多智能硬體裝置，擴大點數產生更大的攻擊流量。

通過網路活動定位到調用網路活動的進程檔案如下，該蠕蟲程式會產生很多新的進程檔案，進程檔案中會包含此進程所執行的指令。

蠕蟲程式在執行後會在指定目錄下產生隨機檔案名稱的惡意代碼，並在運行後自刪除。

有幸的是，找到了一些沒有刪除的惡意樣本。於是乎就把程式download下來分析。

首先判斷這些惡意檔案是ELF可執行檔，並不是什麼指令碼一類的。

我們在IDA下對樣本檔案進行靜態分析，能夠看到該蠕蟲程式的一些任務指令，以及C2伺服器的地址。還有一些是C2伺服器IP地址顯示這台智能硬體的狀態。目前分析到SLEEP,Dildos這兩個狀態。

根據逆向分析後得到的關鍵資訊發現該智能硬體蠕蟲狀態的進一步證據，顯示的是該智能硬體處於Sleeping狀態。

當進入Sleeping狀態時，這個終端只與C2伺服器（23.227.173.210）串連，不執行任何掃描感染任務，也不進行DOS攻擊任務。

通過對這個智能硬體的程式分析總結一下智能硬體的蠕蟲感染的途徑，首先是由攻擊者利用智能硬體漏洞獲得root許可權，執行蠕蟲代碼。C2伺服器就等待智能硬體上線，隨後在預設的情況下感染蠕蟲的智能硬體是會自動掃描發現其它的智能硬體，並自動化利用漏洞讓目標感染蠕蟲程式。控製程序還有一個狀態就是Sleeping，這個狀態就是保持與C2伺服器的串連。等待下髮指令，當前不做任何網路活動。最後就是發起攻擊的時候就是dildos狀態。根據目前靜態分析的結果有這樣幾個狀態，不排除今後會有變種會有更多的狀態。

危害

根據云堤的資料，12月10日，已監測到的攻擊最大流量近1億Qps,（約合76.38Gbps）結合國外的一些訊息大概此次發起攻擊的訊息，是使用了1000多個終端發起的攻擊。這個數字已經很可怕了，如果有10000個這樣的智能硬體受到感染髮起攻擊，那麼流量將會達到700G左右。更何況現在的智能網路攝影機，路由器的漏洞、智能插座層出不窮，未來出貨量也是成倍增長。那麼當智能硬體達到一個量級時，由於其自身安全問題會給互連網造成很大的安全威脅的。實際上這就是將網路戰場延伸到智能硬體這個領域。

防範措施

這類惡意程式的防範方法很難，由於大多數都是駐留在智能硬體韌體系統中，韌體不具備查殺惡意程式所依賴的環境，徹底查殺起來非常難。而且很多使用者在進行初次配置完成後就不會管這些裝置了，這也增加了查殺的難度。

1.對於使用者修改自己智能網路攝影機、路由器等硬體的預設密碼。關注官方發布的更新程式。2.對於廠商來講，需要加強韌體的安全審計，對智能硬體進行測評，保障智能硬體不存在資訊安全問題，才可以供貨。並關注國內外對智能硬體進行安全性測試結果和漏洞。有新漏洞出現時需及時打補丁。3.對於相關部門、電訊廠商、安全公司，應該對這些BOT進行全方位的監控，如果BOT發起大量的異常攻擊從電訊廠商層面進行流量清洗。對BOT惡意版本的變化進行週期性取樣和分析。研發相關查殺指令碼。

技術分析：智能硬體蠕蟲威脅互連網安全（轉）