歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

比Mirai僵尸網絡和BrickerBot更厲害的物聯網大殺器終究還是出現了。背后的開發者竟是一個14歲的騷年!

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿


一種新的惡意程序正通過破壞物聯網設備的固件,讓它們徹底變為“磚頭” ,這類似2017年破壞數百萬設備的BrickerBot惡意程序。該惡意程序被稱為Silex,它通過破壞物聯網設備的存儲設備、刪除防火墻規則和網絡配置讓其停止工作,要恢復設備受害者需要手動重新安裝固件,不過,這對大多數設備管理者來說太復雜了。
Silex于6月26日早些時候開始運行,運行不久,就有安全人員開始調查,當時惡意軟件已經破壞了大約350個設備,不過就在一個小時之后,被破壞的設備就迅速增加到了2000臺。截止發稿時,攻擊仍在繼續。這讓人想起2017年摧毀數百萬設備的BrickerBot惡意軟件,根據目前的統計,BrickerBot已讓1000多萬臺物聯網設備變“磚”。更要命的是背后的開發者竟是一個14歲的騷年!號稱這次攻擊只是他開的一個玩笑,你信嗎?
Mirai僵尸網絡、BrickerBot和Silex,誰的威脅更大?
Mirai僵尸網絡,是由大量可受控物聯網(IoT)設備組成的龐大網絡,其由于在2016年導致美國大范圍網絡癱瘓而名噪一時。不過,早在2017年, Mirai僵尸網絡的威脅已不算什么了,因為一個比Mirai威脅更大的惡意軟件——BrickerBot出現了。
為什么說BrickerBoti威脅更大?因為BrickerBot會鎖定基于Linux與BusyBox工具包的物聯網設備,之后通過暴力攻擊法破解這些設備的賬戶和密碼。在成功入侵這些設備后,BrickerBot則會執行一系列的Linux命令,來破壞設備上的閃存存儲,包括摧毀設備的連網能力與設備功能,最后刪除掉設備上的所有文件,讓這些設備毫無用處。
而此次Silex的出現,則讓BrickerBot都相形見絀。因為根據對Silex的開發者的采訪,該惡意軟件不但要對標BrickerBot,而且要比它更強。
SILEX惡意軟件是如何工作的?
Akamai研究員Larry Cashdollar首次發現了Silex,他說,Silex的工作原理是破壞物聯網設備的存儲設備,破壞防火墻規則,刪除網絡配置,然后讓設備停止工作。
這是在不破壞物聯網設備電路的情況下所能達到的最大破壞程度,為了恢復設備,受害者必須手動重新安裝設備的固件,對于大多數設備所有者來說,這是一項過于復雜的任務。
預計一些用戶很可能會就此更換掉目前使用的設備,因為他們會認為自己的設備固件出現了故障,而不知道是受到了惡意軟件的攻擊。
Cashdollar在今天的一封電子郵件中告訴ZDNet:
Silex使用已知的默認憑證登錄物聯網設備并阻止系統的運行,它是通過將/ dev / random中的隨機數據寫入它找到的任何已安裝存儲來實現的。我發現,Silex在二進制文件中調用fdisk -l,它將列出所有磁盤分區。然后,將/ dev / random中的隨機數據寫入它發現的任何分區。最后,它會刪除網絡配置,通過運行rm -rf /,它將刪除它能發現的任何內容。另外,Silex還會篡改所有iptables條目,添加一個刪除所有連接的條目,然后停止或重啟所有感染的物聯網設備。
注:1.通過fdisk -l 查看機器所掛硬盤個數及分區情況,fdisk能劃分磁盤成為若干個區,同時也能為每個分區指定分區的文件系統,比如linux,fat32,linux swap,fat16以及其實類Unix類操作系統的文件系統等.當然用fdisk對磁盤操作分區后,還要對分區進行格式化所需要的文件系統,這樣一個分區才能使用。
2.如果你接觸過linux,肯定沒少聽過rm -rf的故事,這個恐怖的命令執行后到底會產生什么樣的效果呢?執行“rm -rf /命令,會將所有的文件都刪除,有些系統保護的文件也會報錯。刪除完畢后,試著執行了幾個命令,如top、free、ls、shutdown等都已經無法執行了,只有cd可以。由此可見執行rm -rf /*命令的影響程度有多大。
3. IPTABLES 是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。如果 Linux 系統連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理服務器, 則該系統有利于在 Linux 系統上更好地控制 IP 信息包過濾和防火墻配置。iptables 組件是一種工具,也稱為用戶空間(userspace),它使插入、修改和除去信息包過濾表中的規則變得容易。除非你正在使用 Red Hat Linux 7.1 或更高版本,否則需要下載該工具并安裝使用它。
攻擊來自哪里?
根據目前的證據,攻擊源頭的服務器位于伊朗。
Cashdollar告訴研究人員:
它的目標是任何具有默認登錄憑證的類unix系統。根據我們目前捕獲的二進制樣本,它們的目標是ARM設備。我注意到它還有一個Bash shell版本可供下載,可以針對任何運行Unix這樣的操作系統的結構。
這也意味著,如果Linux服務器打開了Telnet端口,并且它們的安全性很差或使用了沒有啥防護作用的憑據,那么Silex將很容易對這些設備發起攻擊。
Cashdollar說:
針對蜜罐捕獲的IP地址,該地址位于novinvps.com擁有的VPS服務器上,該服務器在伊朗。這意味著,這些攻擊是由伊朗發起的。
在撰寫本文時,該IP地址已被物聯網惡意軟件研究人員羅希特•班薩爾(Rohit Bansal)報告給了URLhaus,并已被列入黑名單。
誰是SILEX惡意軟件的幕后黑手?
在NewSky安全研究員Ankit Anubhav的幫助下,ZDNet向Silex惡意軟件的開發者提出了一系列關于攻擊動機的問題。根據Anubhav的說法,造成這種破壞性惡意軟件的罪魁禍首是一個14歲的少年,他的網名是Light Leafon。
Anubhav確認了黑客的身份,讓他在Silex命令與控制(C&C)服務器上放了一條自定義消息,確認我們確實在與Light Leafon交談。
在此之前,Light曾創建過HITO物聯網僵尸網絡,并在一個月前接受了Anubhav關于物聯網僵尸網絡和安全播客的采訪。Light表示,它已經放棄了舊的HITO僵尸網絡,轉而使用Silex。這名少年說,他計劃進一步開發惡意軟件,并添加更具破壞性的功能。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺