Check Point发布研究报告警告称,新一波物联网僵尸网络“风暴”来袭。Check Point提炼的研究结果如下:
一个庞大的僵尸网络正掀起一场让互联网瘫痪的“网络风暴”。
预计上百万家企业已遭遇感染。
新型僵尸网络正在“物色”物联网攻击目标
这个新型僵尸网络正在“物色”物联网设备实施攻击,例如无线网络摄像头。
Check Point研究人员称发现一个新型僵尸网络正以相当快的速度“物色”物联网设备,其潜在破坏力比Mirai更甚。
物联网僵尸网络是联网智能设备组成的僵尸网络,威胁攻击者通过远程控制实施攻击。近几年,几起最具破坏性的物联网僵尸网络攻击将目标对准全球的组织机构,,包括医院、交通枢纽、通信公司和政治运动。
黑客善利用无线物联网设备中的漏洞
9月底Check Point入侵防御系统(IPS)发现,黑客不断尝试利用各种物联网设备中的漏洞。
Check Point发现的恶意软件每天都在不断利用无线网络摄像头设备的漏洞,例如GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys、Synology。多次攻击企图来自不同的源头和各种物联网设备,这就意味着这起攻击通过物联网设备传播。
据研究人员估计,全球超过一百万家企业已经受到影响,包括美国、澳大利亚。研究人员指出,研究表明全球正经历着大风暴前的平静,并称下一场“网络飓风”即将登陆。
Check Point全球威胁地图显示,物联网入侵防御系统上出现大量攻击企图。为了深入了解情况,研究人员便开始调查攻击来源。下图为研究人员对其中一台设备的分析:
通过Shodan,研究人员发现一个GoAhead摄像头(通过TCP运行开放端口81)的IP地址。这仅仅只是其中一类遭遇感染的设备,此外还包括D-Link、NETGEAR、TP-Link等设备。
研究人员进一步研究后发现,这台设备的System.ini文件用来检查攻击情况。这个文件在正常的设备会包含用户凭证,但这台设备上还存在编辑过的“Netcat”命令,其打开了这个攻击IP地址的逆向Shell。这就说明,这台设备只是链条中的一个环节,自己遭遇感染后还会继续传播感染。在这个案例中,攻击者利用“CVE-2017-8225”漏洞渗透GoAhead设备,感染目标设备后,目标设备又会开始寻找感染目标。
研究人员进一步研究后发还发现,大量设备遭遇感染,此后还充当着传播主体。这些攻击来自不同的设备和多个国家,近60%的Check Point ThreatCloud公司网络受到影响。
虽然某些技术特征可能表明这个僵尸网络或许与Mirai存在关联,但研究人员表示,这是一个全新的、复杂程度更高的物联网僵尸网络。研究人员认为目前揣测威胁攻击者的意图还为时过早,但应警惕僵尸网络发起DDoS攻击,组织机构应做好充分准备以应对这类攻击。