標題:Mirai物聯網殭屍攻擊深度解析
摘要:
Mirai殭屍在黑客Anna-senpai公佈源碼後,被黑客利用并快速的形成了大量的殭屍網絡,其中部分黑客參與了此次攻擊,目前不排除黑客Anna-senpai也參與了本次攻擊,其擁有大概30萬-40萬的Mirai殭屍肉雞。
Mirai殭屍在黑客Anna-senpai公佈源碼後,被黑客利用并快速的形成了大量的殭屍網絡,其中部分黑客參與了此次攻擊,目前不排除黑客Anna-senpai也參與了本次攻擊,其擁有大概30萬-40萬的Mirai殭屍肉雞。
此次針對Dyn域名服務器的攻擊讓古老的DDoS技術再一次震撼了互聯網,其中最引人注目是物聯網殭屍網絡的參與,物聯網概念流行了近7年,大量的智能設備正不斷地接入互聯網,其安全脆弱性、封閉性等特點成為黑客爭相奪取的資源。目前已經存在大量針對物聯網的殭屍網絡,如QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM等等,並且越來越多的傳統殭屍也開始加入到這個物聯網行列中。
通過我們對殭屍源碼的分析發現,該殭屍具備如下特點:
1. 黑客服務端實施感染,而非殭屍自己實施感染。
2. 採用高級SYN掃描,掃描速度提升30倍以上,提高了感染速度。
3. 強制清除其他主流的IOT殭屍程序,幹掉競爭對手,獨占資源。比如清除QBOT、Zollard、Remaiten Bot、anime Bot以及其他殭屍。
4. 一旦通過Telnet服務進入,便強制關閉Telnet服務,以及其他入口如:SSH和web入口,並且佔用服務端口防止這些服務復活。
5. 過濾掉通用電氣公司、惠普公司、美國國家郵政局、國防部等公司和機構的IP,防止無效感染。
6. 獨特的GRE協議洪水攻擊,加大了攻擊力度。
1. 黑客服務端實施感染,而非殭屍自己實施感染。
2. 採用高級SYN掃描,掃描速度提升30倍以上,提高了感染速度。
3. 強制清除其他主流的IOT殭屍程序,幹掉競爭對手,獨占資源。比如清除QBOT、Zollard、Remaiten Bot、anime Bot以及其他殭屍。
4. 一旦通過Telnet服務進入,便強制關閉Telnet服務,以及其他入口如:SSH和web入口,並且佔用服務端口防止這些服務復活。
5. 過濾掉通用電氣公司、惠普公司、美國國家郵政局、國防部等公司和機構的IP,防止無效感染。
6. 獨特的GRE協議洪水攻擊,加大了攻擊力度。
緩解措施:
1. 如果感染Mirai,請重啟設備,並且請求設備廠商更新固件剔除Telnet服務。
2. 不必要聯網的設備盡量不要接入到互聯網中。
3. 通過端口掃描工具探測自己的設備是否開啟了SSH (22), Telnet (23)、 HTTP/HTTPS (80/443)服務,如果開啟,請通知技術人員禁用SSH和Telnet服務,條件允許的話也可關閉HTTP./HTTPS服務(防止類似攻擊利用Web對設備進行感染)。
1. 如果感染Mirai,請重啟設備,並且請求設備廠商更新固件剔除Telnet服務。
2. 不必要聯網的設備盡量不要接入到互聯網中。
3. 通過端口掃描工具探測自己的設備是否開啟了SSH (22), Telnet (23)、 HTTP/HTTPS (80/443)服務,如果開啟,請通知技術人員禁用SSH和Telnet服務,條件允許的話也可關閉HTTP./HTTPS服務(防止類似攻擊利用Web對設備進行感染)。
沒有留言:
張貼留言