回顧惡名昭著的Mirai殭屍網路(下)
傳送門
回顧惡名昭著的Mirai殭屍網路(上)
前言
本文是回顧惡名昭著的Mirai殭屍網路下半部分,包括以下內容:
1、模仿者的興起:這一部分介紹了Mirai源代碼公布事件及眾多黑客組織對這個代碼的重用過程。源代碼發布后,湧現了許多Mirai變種,這一部分也介紹了我們用來追蹤這些變種的具體技術。最後,我們也討論了每個主流變種背後的目標及動機。
2、Mirai致癱互聯網:介紹Dyn攻擊事件的內幕,表明主流站點(如Amazon)無法提供服務其實只是此次攻擊的附帶犧牲品而已。
3、Mirai封閉整個國家?:分析針對Lonestar(賴比瑞亞最大運營商)的多次攻擊活動。
4、德國電信陷入黑暗:討論Mirai某個變種如何藉助路由器使德國互聯網提供商下跪求饒。
5、Mirai原作者身份澄清?:詳細介紹Brian Krebs關於Mirai作者的調查情況,以及FBI相關案件的審訊結果。
6、德國電信攻擊始作俑者被捕:介紹攻擊德國電信始作俑者被捕過程,以及從案件審理中我們可以獲取的信息。
一、模仿者的興起:9月30日
事件的發展有點出眾人所料,在2017年9月30日,作為Mirai的作者,Anna-senpai通過某個臭名昭著的黑客論壇公布了Mirai源代碼。他還在論壇上發表了一個帖子,宣布就此退出舞台,如上圖所示。
源代碼的公布是一個導火索,使山寨黑客不斷湧現,開始運行自己的Mirai殭屍網路。從那一刻起,Mirai攻擊已不局限於單一的攻擊者或者單一的基礎設施,而是與多個團體關聯起來,這使得研究人員更加難以追蹤溯源這類攻擊,無法看清這些團體背後的動機。
聚類Mirai基礎設施
為了跟上Mirai變種的擴散速度,跟蹤隱藏在這些變種背後的黑客組織,我們開始聚類分析攻擊者所使用的基礎設施。逆向分析所有的Mirai版本后,我們可以提取出各種黑客組織所使用的C&C伺服器的IP地址及域名。我們總共提取出2個IP地址以及66個不同的域名。
從提取出的域名來拓展DNS信息,將這些信息聚類在一起后,我們可以識別出33個不同的C&C集群(cluster),這些集群所使用的基礎設施沒有交集。這些集群中,最小的集群使用一個單獨的IP地址作為C&C地址。最大的集群擁有112個域名以及92個IP地址。我們發現的集群中,最大的6個集群如上圖所示。
這些大型集群所使用的域名格式差別很大。比如,「cluster 23」喜歡與動物有關的域名,如「33kitensspecial.pw」,而「cluster 1」擁有許多與電子貨幣有關的域名,比如「walletzone.ru」。從結果中,我們發現了許多不同的基礎設施以及不同的特徵,這也進一步確認在源代碼泄露后,有多個組織在獨立傳播Mirai變種。
變種集群時間線
通過查看集群C&C基礎設施的DNS請求次數,我們可以重構每個集群的演進時間線,估計集群的相對規模。之所以能夠通過這種方法進行統計,原因在於每個殭屍節點必須定期執行DNS查詢任務,以獲取C&C域名所對應的IP地址。
某幾個大型集群的DNS請求次數如上圖所示。從上圖可知,同一時間有許多集群處於活躍狀態。我們從中可以推測許多攻擊者的動機有所不同,因此他們在爭相奪取存在漏洞的IoT設備的控制權,根據自己需求發起DDoS攻擊。
將所有變種繪製在一張圖上后,我們可以清楚地發現不同變種所使用的IoT設備的範圍差別很大。如上圖所示,雖然全世界有許多Mirai變種,但只有非常少數的幾個變種能夠拓展自身規模,具備攻陷主流網站的能力。
背後的動機
| 集群 | 備註 |
|---|---|
| 6 | 攻擊Dyn以及遊戲相關目標 |
| 1 | 原始殭屍網路,攻擊Krebs以及OVH |
| 2 | 攻擊Lonestar Cell運營商 |
觀察大型集群所攻擊的目標,我們可以分析這些集群背後的真正動機。比如,如上表所示,原始的Mirai變種(cluster 1)攻擊的是OVH以及Krebs,而Mirai的最大變種(cluster 6)攻擊的是DYN以及與遊戲相關的其他網站。相比之下,Mirai的第三大變種(cluster 2)攻擊的是非洲電信運營商,稍後我們會介紹這一點。
| 目標 | 被攻擊次數 | 集群 | 備註 |
|---|---|---|---|
| Lonestar Cell | 616 | 2 | 賴比瑞亞電信運營商被反射式攻擊102次 |
| Sky Network | 318 | 15, 26, 6 | 巴西Minecraft伺服器,託管在Psychz Networks數據中心 |
| 104.85.165.1 | 192 | 1, 2, 6, 8, 11, 15 … | Akamai網路中的未知路由器 |
| feseli.com | 157 | 7 | 俄羅斯烹飪博客 |
| Minomortaruolo.it | 157 | 7 | 義大利政客網站 |
| Voxility hosted C2 | 106 | 1, 2, 6, 7, 15 … | 從DNS擴展信息中發現的C2域名 |
| Tuidang websites | 100 | — | 通過HTTP方式攻擊中國的兩個網站 |
| execrypt.com | 96 | -0- | 二進位混淆服務網站 |
| Auktionshilfe.info | 85 | 2, 13 | 俄羅斯拍賣網站 |
| houtai.longqikeji.com | 85 | 25 | 通過SYN方式攻擊原遊戲商務網站 |
| Runescape | 73 | — | 世界排名26的在線遊戲 |
| 184.84.240.54 | 72 | 1, 10, 11, 15 … | 託管在Akamai上的未知目標 |
| antiddos.solutions | 71 | — | react.su提供的反DDoS服務 |
檢查所有Mirai變種最喜歡攻擊的服務后,我們可以得到如下結論:
1、Mirai受按需攻擊服務驅使:被攻擊的目標包含各種類別,表明某些大型集群正在提供按需攻擊服務(booter service)。客戶支付報酬后,網路犯罪分子會根據客戶需求提供定製化的DDoS攻擊服務。
2、攻擊者數量比集群數量少:某些族群之間有高度重合的目標對象,這表明這些集群背後的攻擊者應該為同一類人。比如,cluster 15、26以及6的攻擊目標都是Minecraft伺服器。
「Mirai並不是由一個單獨的組織來操控,而是由一群犯罪分子來操控,這些犯罪分子會因為不同的動機來運行自己的Mirai變種。」
二、Mirai致癱互聯網:10月21日
10月21日,Mirai攻擊了DYN(DYN是非常流行的一個DNS服務提供商)。這次攻擊事件導致互聯網用戶無法訪問許多主流站點,比如AirBnB、Amazon、Github、HBO、Netflix、Paypal、Reddit以及Twitter,這些站點都由DYN提供域名解析服務。
之前媒體報道說此次攻擊目的是「使整個互聯網癱瘓」,但我們認為並非如此,此次攻擊的真實目標應該是遊戲平台。
之所以得出這個結論,是因為我們查看了攻擊DYN的變種(cluster 6)的其他攻擊目標,發現這些目標都是與遊戲平台有關的一些目標。此外,這個變種也跟OVH攻擊事件有關,前面我們提到過該平台也託管了一些遊戲伺服器。非常不幸的是,DYN攻擊事件中受到波及的所有站點只是各方利益爭奪中的一些附帶犧牲品。
「針對DYN的大規模DDoS攻擊的背後實際上是遊戲行業的利益爭奪,由此導致了大規模互聯網中斷事故。」
三、Mirai封閉整個國家?:10月31日
作為賴比瑞亞最大的電信運營商之一,Lonestar Cell從10月31日開始就成為Mirai的攻擊目標。在接下來的幾個月內,該運營商遭受到616次攻擊,是所有Mirai受害者中被攻擊次數最多的一個。
在早期階段,有報道稱這些攻擊導致賴比瑞亞互聯網大部分處於癱瘓狀態。比如,Akamai公布了如上一張圖表,顯示賴比瑞亞流量處於下跌狀態。然而後來證實,這一時期剛好與賴比瑞亞的一個節假日重疊,而攻擊事件很有可能隻影響了少數幾個網路。
與此次攻擊有關的Mirai集群所使用的基礎設施與原始的Mirai或者DYN變種所使用的基礎設施之間沒有任何交集,這表明此次攻擊的始作俑者並非Mirai原始攻擊者,而是由完全不同的攻擊者所主導。
我們公布了這個研究成果,幾個星期之後,某個Mirai變種的背後指使者在審判過程中承認,他收取了不當利益來攻擊Lonestar,這也證實了我們的結論。該犯罪分子承認,賴比瑞亞的一家匿名ISP向他支付了1萬美元來攻擊其競爭對手。這個事實表明,我們的聚類分析方法能夠精確跟蹤並溯源Mirai的攻擊活動。
「針對Lonestar互聯網服務提供商的DDoS攻擊事件表明,IoT殭屍網路已經在行業競爭中成為一把尖兵利器。」
四、德國電信陷入黑暗:11月26日
2016年11月26日,作為德國最大的互聯網服務提供商之一,德國電信(Deutsche Telekom)90萬台路由器被惡意入侵,導致大量用戶無法正常使用服務。
具有諷刺意味的是,此次斷網事件並不是由Mirai DDoS攻擊所引起,而是由一個錯誤實現的Mirai定製版變種所導致,該變種在嘗試入侵設備時會導致設備離線宕機。這個變種同時也影響了成千上萬台TalkTalk路由器。
該變種之所以能影響這麼多台路由器,原因在於變種特有的一個複製模塊,該模塊中增加了路由器漏洞利用功能,攻擊的是CPE WAN管理協議(CPE WAN Management Protocol,CWMP)。CWMP協議是基於HTTP的一種協議,許多互聯網提供商會使用該協議為家庭路由器、數據機以及其他客戶終端設備(customer-on-premises,CPE)提供自動配置及遠程管理功能。
除了攻擊規模龐大之外,此次攻擊事件也具有重要意義,該事件表明了黑客可以將非常複雜的IoT漏洞武器化,進一步構建強大的殭屍網路。我們希望德國電信事件能夠起到警鐘作用,推動廠商自動、強制性更新IoT設備。由於互聯網用戶通常需要手動更新IoT設備,因此IoT廠商如果能自動強制更新設備,這在遏制重大風險方面能起到非常好的效果。
「IoT設備自動更新應該是一種強制性策略,以阻止攻擊者利用未打補丁的IoT設備來構建大型IoT殭屍網路。」
五、Mirai原作者身份澄清?
在網站被下線的幾個月內,Brian Krebs花了數百個小時的時間,來調查Mirai作者:Anna-Senpai。2017年1月初,Brian宣布,Anna-senpai的真實身份實際上是Paras Jha,他是羅格斯大學(Rutgers)的一名學生,之前曾參與過攻擊遊戲行業的一些黑客事件。身份公布后,FBI調查了Paras Jha。然而,截至2017年11月,官方並沒有控告或證實Paras為Mirai的真實開發者。
六、德國電信攻擊始作俑者被捕
2016年11月,Daniel Kaye(又名BestBuy)在盧頓機場被捕。Daniel Kaye是攻擊德國電信的Mirai變種的始作俑者。在Mirai事件之前,這名29歲的英國公民曾在各種暗網市場上提供黑客服務,他也因此廣為人知。
2017年7月,距離Daniel Kaye被引渡到德國后已經過去好幾個月的時間,Daniel Kaye終於承認檢方對自己的指控,被判處1年6個月的有期徒刑。在審判期間,Daniel承認他並沒有想讓路由器宕機,只是想悄悄控制這些設備,利用這些設備構建殭屍網路,提升殭屍網路攻擊力。前面提到過,Daniel也承認他收取了一些金錢,幫助Lonestar的競爭對手搞垮Lonestar。
2017年8月,Daniel因曾試圖勒索Lloyds以及Barclays銀行而被引渡回英國,接受勒索罪審判。根據媒體報道,Daniel要求Lloyds銀行支付約75,000英鎊的比特幣,才會取消對該銀行的攻擊。
七、總結
互聯網上存在大量不安全的IoT設備,在不久的將來,這些設備將成為DDOS攻擊的主要來源。
「Mirai事件是一個歷史轉折點,表明IoT設備已經成為DDoS攻擊的主力軍。」
如果IoT廠商開始遵循基本的、切實可用的原則規範,那麼就能避免Mirai及後續衍生的IoT殭屍網路。具體說來,IoT設備廠商應該遵循如下標準:
1、消除默認憑證:這一點能夠阻止黑客構建超級憑據列表,無法像Mirai那樣通過該列表危害大量設備。
2、強制使用自動更新策略:IoT設備經常被人遺忘在角落,因此用戶通常不會手動更新這些設備。自動修補這些設備是唯一合理的選擇,這樣才能確保這些設備不存在像德國電信事件中出現的大範圍漏洞,使攻擊者無法利用這些漏洞控制大規模互聯網。
3、採用限速策略:強制限制登錄頻率,避免針對這些設備的暴力破解攻擊,可以減輕使用弱口令時帶來的安全風險。另一個方法就是在登錄過程中使用驗證碼或者其他驗證機制。
「如果IoT設備遵循基本的、切實有效的安全策略,就能避免出現IoT殭屍網路。」
登錄安全客 - 有思想的安全新媒體 http://bobao.360.cn/index/index,或下載安全客APP來獲取更多最新資訊吧~