域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

概述

道高一尺魔高一丈，進(jìn)化是惡意軟件的一個(gè)組成部分，因?yàn)楣粽咄枰劝酌焙诳吞崆耙徊絹?lái)逃避檢測(cè)。

雖然IoT惡意軟件是從基于弱密碼的簡(jiǎn)單攻擊開(kāi)始，比如說(shuō)Mirai，但是隨著惡意軟件技術(shù)的不斷發(fā)展，目前已可以采取更多戰(zhàn)略方法，如跨平臺(tái)漏洞攻擊大量設(shè)備。

默認(rèn)的密碼攻擊已經(jīng)是開(kāi)(白)源(菜)技術(shù)了，隨著近期對(duì)物聯(lián)網(wǎng)威脅的研究發(fā)現(xiàn)，許多政府企業(yè)和消費(fèi)者已經(jīng)開(kāi)始使用更復(fù)雜的密碼，從而迫使攻擊者采取不同的手段進(jìn)行攻擊。

IoT威脅空間最近出現(xiàn)一個(gè)名為IoTroop的新僵尸網(wǎng)絡(luò)，它使用漏洞而不是弱密碼來(lái)入侵設(shè)備。劃重點(diǎn)，敲黑板。

IoTroop攻擊的手段利用了CVE-2017-8225，這是一個(gè)許多網(wǎng)絡(luò)攝像頭制造商使用的定制GoAhead嵌入式服務(wù)器相關(guān)的漏洞。

在這個(gè)博客中，我們將討論“MDLC”，這個(gè)高大上的詞兒意思是：惡意軟件開(kāi)發(fā)生命周期，以及跟蹤POC如何被共享信息和資源的各類(lèi)攻擊者武器化和使用。

與Shodan集成的攻擊腳本

我們觀察到一個(gè)攻擊者聲稱(chēng)他具有與CVE-2017-8225攻擊相關(guān)的腳本以及該腳本的截圖。暗網(wǎng)中黑客論壇風(fēng)云際會(huì)既視感有沒(méi)有。

攻擊者在論壇中提供了兩個(gè)腳本，第一個(gè)腳本使用Shodan查詢(xún)來(lái)dump所有受CVE-2017-8225漏洞影響設(shè)備的IP地址，這使用了一個(gè)GoAhead漏洞相關(guān) 的已知Shodan緩存結(jié)果。

現(xiàn)在一旦收集到所有易受攻擊的IP，第二個(gè)腳本將使用CVE-2017-8225來(lái)dump這些設(shè)備的憑據(jù)。這種組合將幫助業(yè)余黑客可以控制各種IoT設(shè)備，而不用擔(dān)心兩個(gè)重要問(wèn)題：目標(biāo)在哪里?怎么攻進(jìn)去?

Netcat的反彈Shell

當(dāng)一個(gè)攻擊者詢(xún)問(wèn)這次攻擊形成的僵尸網(wǎng)絡(luò)的狀態(tài)時(shí)，作者回答說(shuō)他需要一個(gè)VPS，他可以通過(guò)VPS來(lái)使用netcat。 一旦這樣做，很容易形成僵尸網(wǎng)絡(luò)。

在我們解剖的IoTroop感染的設(shè)備中，我們確實(shí)觀察到反向shell的netcat命令的存在。這也與Check Point的發(fā)現(xiàn)一致，所以我們猜測(cè)這個(gè)攻擊者和IoTroop作者的想法是一致的。

攻擊者合作

但腳本中存在一個(gè)小問(wèn)題。為了使設(shè)置正常工作，攻擊者需要訪問(wèn)Shodan Premium這個(gè)物聯(lián)網(wǎng)搜索引擎大殺器。 我們注意到這個(gè)腳本的作者跪求Shodan的登錄信息，并聲稱(chēng)如果他可以訪問(wèn)Shodan Premium，他將為任何目的建立僵尸網(wǎng)絡(luò)。

不久之后，我們觀察到一名用戶(hù)同意與攻擊者分享他的Shodan密碼，這將有助于用戶(hù)形成僵尸網(wǎng)絡(luò)。

在這里，這個(gè)話(huà)題沉默了，沒(méi)有問(wèn)題，沒(méi)有更新。他倆是不是私聊我們不知道，我們只知道，風(fēng)暴之前的大海，安靜的可怕。

CVE-2017-8225漏洞的利用代碼已經(jīng)由安全研究人員發(fā)布。 然而武器化版本的易用性和與Shodan的集成使得業(yè)余黑客更容易獲得對(duì)大規(guī)模設(shè)備的控制。這才是要點(diǎn)好不好?所以后來(lái)有人在論壇打臉，說(shuō)他只是復(fù)制原始漏洞利用報(bào)告中的大部分代碼的時(shí)候，攻擊者也大咧咧的認(rèn)了。

我們還觀察到，有一部分攻擊者已經(jīng)在使用這些腳本向現(xiàn)有的僵尸網(wǎng)絡(luò)添加更多的物聯(lián)網(wǎng)設(shè)備。這個(gè)世界永遠(yuǎn)不缺起哄架秧子的，黑客的世界也不例外。

結(jié)論

雖然找到與攻擊有關(guān)的確切組合挺爽的，但是物聯(lián)網(wǎng)安全(或任何形式的網(wǎng)絡(luò)安全)的更大的問(wèn)題是，如果有一種已知的方法來(lái)成功攻擊設(shè)備，設(shè)備被攻擊只是一個(gè)時(shí)間問(wèn)題。

自從有了CVE-2017-8225漏洞，易受攻擊的大量設(shè)備在Shodan中是裸奔的，只能等待受到攻擊，目前沒(méi)有任何安全或補(bǔ)丁，他們現(xiàn)在很容易成為IoTroop僵尸網(wǎng)絡(luò)的一部分。畢竟老話(huà)說(shuō)的好，不怕黑客黑你，就怕黑客惦記。

NewSky Security IoT Halo主動(dòng)提供CVE-2017-8225攻擊嘗試的檢測(cè)。技術(shù)咨詢(xún)：info@newskysecurity.com

NewSky Security 首席研究員Ankit Anubhav

原文請(qǐng)參考如下鏈接：

1：

2：

3：

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！