你枯坐窗前,蹂躏着30块的咖啡,你走在树下,阳光晒得你心乱如麻。
是否有那么一瞬间,你突然觉得世界不对了。
一点儿都不对了。
只有你一个人站在原地,而背后,一张巨大的网正在形成它的肌理,正在注入血色,正在向你逼近。
你猛然回头!
什么都没有。
文 | 史中 雷锋网主笔(微信:Fungungun)
访谈对象 | 360 安全研究员李丰沛
僵尸网络的新世界
你可能玩过“球球大作战”或者“贪吃蛇大作战”。
这些游戏像一幕幕戏剧,其中轮回着冰冷坚硬的铁律:
“在这里你我都不会傻到和对手讲“道理”,因为你的实力和个头就是唯一的道理。”
在赛博世界,每个有血有肉的人都退化成为一个 IP,甚至一串字符。隐匿在数字背后,弱肉强食的规则更为直白。现实世界的占山为王,在这里变成了抽丝结网。这个网,就是僵尸网络。
你的私人电脑、手机、ipad、硬件设备,在黑客眼里都只是一个“壮丁”。他们利用病毒木马控制这些壮丁,谁手上控制的壮丁最多,谁就拥有最强大的“部队”,可以在网络世界里肆意杀伐,攻城略地。
简单来说,利用恶意代码控制互联网上的设备,让他们像僵尸一样失去了原本的“意识”,这些僵尸网络在C2端(也就是控制者)的命令下统一行动,就组成了僵尸网络。僵尸网络的一个重要作用就是进行 DDoS 攻击,也就是发动这些硬件对特定服务器同时发起访问,造成对方网络瘫痪,无法正常运行。
李丰沛对雷锋网宅客频道说。
他是 360 网络安全研究院的工程师。在 360,网络安全研究院神秘而机要,掌握着由全球网络数据组成的“世界地图”。
你以为世界岁月静好井井有条。但是从这张数据地图里,可以看到僵尸网络就盘绕在你身边,它们甚至已经爬进你的家里,在角落闪烁着幽暗的灯光。
“僵尸军团”的是这样蔓延的:
恶意僵尸程序会在全网进行扫描,一旦发现有漏洞的设备(电脑、硬件等等),就马上入侵控制,把它纳入僵尸大军麾下,再以新的僵尸设备为跳板,继续感染其他设备。这像极了僵尸片中病毒的指数级扩散模式。
这些僵尸大军,少则有几千台设备,多则达到数百万台设备。实际上,你的设备很可能已经被某个僵尸军团控制,参加了数次网络世界中的火并,但你却仍旧懵然无知。
网络世界的“第一次世界大战”:Mirai 和它的变种
传统的僵尸网络以控制 PC 或者服务器为主,但那已经是上一个时代的产物了。新版的僵尸网络盯上了一个新目标,那就是在很多人家角落里安静的摄像头。
不要小看这些摄像头,全球的摄像头总量加在一起已经有数千万台,而这个数据在几年前还仅仅只有现在的一个零头。摄像头低调安静,一般人不会去查看他们是否“健康”。但摄像头同时又很强大,有着比一般硬件强大的处理能力和网络带宽(因为要处理和上传视频数据),这正是进行僵尸网络攻击最好的候选者。
我现在说的,并不是新鲜事。一场大战已经发生。
2016年,名为 Mirai 的病毒源代码被他的制造者发布到了网上,这个病毒专门用于控制众多品牌的摄像头。被发布到网络之后,各大安全厂商迅速查杀,但是这个病毒的代码也迅速被各路黑客改写,成为变种继续在网络中生存。
这像极了现实世界中我们和病毒的对抗。每当一种新药研制成功,就可以杀死大部分的病毒,但是总有以下部分存活下来,适应了新的药物,从而成为变种,更难被杀死。
黑客利用 Mirai 家族迅速控制了全球上百万的摄像头,但是在普通人眼里,一切都平静得和以前一样。直到10月的一个晚上,美国东海岸的大部分人发现自己连 Twitter 和 CNN 都没有办法登陆(我们从来都登不上去也没有抱怨,美国人就是矫情),相关的部门才意识到,一个主要的 DNS 服务商,也就是网址解析服务正在被 Mirai 攻击!
攻击持续了数个小时,黑客才选择收手。这期间,美国经济最发达的东海岸地区处于网络瘫痪状态,经济损失超过20亿美元。这无异于针对美国的又一次“911”。
作为顶级安全研究员,李丰沛如此评价了这次网络世界的“911”:
由于 Mirai 病毒的控制端是不断变化的,而且经过了深度的匿名,所以要调查出真凶成本很高。
但是这次攻击在我看来非常愚蠢,从攻击者角度看,他至少做错了三件事:
1、他攻击了美国的 DNS 解析服务,这会一次打倒很多网站,会引起巨大的公众关注。
2、他攻击的流量非常大,远超过打瘫服务器的需要,这会引起政府的巨大重视。
3、他的攻击时间点选择了美国大选之前,这个时间相当敏感,可能招致更多的部门去调查他。
因为从病毒的代码来看,质量非常高,很多地方设计精巧,可以知道作者是一个很聪明的人,但这次攻击造成美国大断网的行为却非常愚蠢。所以我怀疑他的僵尸网络出租给了他人使用。
然而,即使是这样,这场网络世界最新的世界大战依然没有结论。至今美国人甚至连当时的对手是谁都没有确定(如果不是美国秘而不宣的话)。
这就是由摄像头组成的 IoT 设备僵尸网络的可怖之处。
“第二次世界大战”还会降临:重新集结的摄像头
然而,我们身边的噩梦还远远没有结束。
2016年的僵尸网络世界大战,更像一次意外,或者是示威。僵尸网络的正确用法和雇佣军类似,黑客收钱,替金主攻击敌人。这些攻击可能是某家金融机构攻击竞争对手,也可能是某些游戏私服攻击另一队私服。它们往往都是在地下涌动,被攻击者不愿声张,而攻击者也不愿暴露。
Mirai 造成美国大断网之后,被黑客控制的摄像头数量不仅没有下降,反而呈指数上涨。有人通过在线设备检索平台 Shodan 和知道创宇的网络空间探测平台 ZoomEye,估算其中可能被 Mirai 感染的摄像头已经在2000万到3000万之间。
根据 360 网络安全研究院对外发布的探测数据,可以确定捕捉到的被感染设备在200w,每日新增活跃1w-2w之间。
▲截至2017年5月10日,累计监测到被 Mirai 感染的僵尸设备活跃数量已经达到了将近250万台,数据来自 360 网络安全研究院信息发布平台 http://data.netlab.360.com
目前我们所探测到的 Marai 和变种所控制的设备,单一控制端就可以打出 1Tbps 的 DDoS 攻击(每秒1T流量),这比人类历史上已公开的最大攻击——去年 CDN 服务巨头 Akamai 曾遭遇 620G左右 DDoS 攻击——还要大得多。
李丰沛说出这个让人忧心的现状。
但这还不是黑暗力量的全部。
广袤的网络海洋中滋生出更多“怪兽”,一个名为“Hajime”的木马,和 Mirai 一样,这种木马也在没日没夜地侵袭网络空间中的摄像头。然而让全世界都难以理解的是:在整个 Hajime 木马中,却没有一行攻击代码。
它恰恰像我们体内95%的 DNA 一样,不参与遗传,不表达特征,它们的存在就像一种寄生,它的迅猛侵袭让人看不清动机却又无比恐惧。
目前,Hajime 在全网的体量已经仅次于 Mirai,成为一个“隐形的巨人”,就像房间里的大象,人们都知道它的存在,却经常忽略它的影响。李丰沛说:
卡巴斯基最先报告了 Hajime,如今它在规模上已经大体和 Mirai 成为同一级别。它的感染量巨大,虽然没有攻击代码,但在传播的过程中都有可能造成网络灾难。另外,今天它没有攻击代码,并不代表它永远人畜无害,因为黑客对它拥有完整的 Root 权限,是可以随时升级成为进攻武器的。
让人惊奇的是,Mirai 和 Hajime 这两支网络世界最大的军团在每一台摄像头里都进行着白热化的争斗。
一旦一个病毒成功入侵了摄像头,拿到最高的 Root 权限,就会采取“堵门”策略,其他的病毒都无法进入。
一旦一个病毒入侵摄像头之后,由于种种程序错误不能拿到最高权限,后面进来的对手就会把它踢掉,再后来的对手又会把上一任踢掉。如此循环。
很多用户的摄像头不仅已经不属于他们自己,反而成了病毒之间火并的战场。
李丰沛说。
Mirai 和 Hajime 的混战如火如荼,研究员却突然发现有一支新的木马正在崛起。一开始他们以为这又是一支新的 Mirai 变种,但是,这支病毒迅速占领全球很多摄像头,并且持续对外发出扫描动作,短时间内就爬到了监控数据榜的前十位。这个势头让李丰沛和同事不得不重视。
本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。
神秘的第三位巨头:HTTP81
HTTP81 浮出水面。
“HTTP81”是李丰沛和团队为这个木马的命名。在2017年4月,团队观测到了这个木马。之所以叫 HTTP81,是因为这个木马不断扫描网络设备的“81”端口,这和 Mirai 扫描的“23”端口显著不同。李丰沛说,把这个木马病毒和 Mirai 区分开的因素有三个:
传播方式不同:Mirai 最初主要扫描“23”端口,HTTP81主要在“81”端口上扫描。利用了和所有 Mirai 家族都不一样的漏洞。
通信方式:在通信协议方面,HTTP81采用了不同于 Mirai 全新的“自主研发”通信协议。
攻击方试:Mirai 最有特征的攻击方法是 GRE 和 STOMP 攻击,而 HTTP81 实现了全新的攻击方试。
李丰沛觉得,HTTP81 的作者也是个聪明人,整体代码质量不错,是安全研究员的强劲对手。当他把这个病毒报告给注明病毒平台 VirusTotal 的时候,进驻的57家安全厂商已经有7家发现了这个问题,不过,这7家都是国外厂商,并且有一些并没有意识到这个病毒的可怕性,只是把它当做简单的 Mirai 变种来处理。
可怕的事情还是发生了。
迅速感染了4-5w台设备之后,HTTP81 俨然成为了 IoT 僵尸网络的第三名,虽然离前两位还差两个数量级别。在2017年4月23日,HTTP81 发起了第一次进攻。目标是俄罗斯的一家银行。这让李丰沛和同事们感觉到更重的责任。由于这个病毒的攻击域名地处伊朗,并且对域名信息做了严密的隐私保护,所以远在中国的安全研究员对抗它的最好方式就是——把这个病毒的技术细节公布于众。
就在首次攻击发生的第二天,360 选择在网络安全研究院的博客上发布了对这个木马的研究报告,把它的攻击方法进行了曝光。就在报告发出的一天之后,HTTP81突然把控制端解析到了一个内网网段,并且在48小时之内停止了对外的扫描扩张。
这种立竿见影让作为安全研究员的李丰沛觉得非常鼓舞。但他知道,这一切只能拖慢黑客的步伐。因为 HTTP81 的控制者显然只是选择了蛰伏,未来某一天只要他重新修改控制端口的数据,就可以立刻让僵尸复活。
▲根据 360 的报告,由于数据的地缘性限制,看到“HTTP81”被感染设备的分布主要限定在中国大陆地区。具体位置分布如上图(此图仅为示意,南海部分领海未显示在内)。
而在李丰沛的数据地图上,拥有 100-1000 个设备的僵尸网络,每天都会新增几十个。对于这些僵尸网络的追踪,要耗费巨大的成本,作为安全企业,难以以一己之力斩草除根。
不死的僵尸网络
不久前,国外安全公司赛门铁克发布报告,里面有一个震惊的结论:一个物联网设备在接入互联网2分钟之后就会被僵尸网络控制。这就是智能设备的安全现状。
这些摄像头、路由器等物联网设备的安全状况处在极其“坑爹”的状态,很多设备都使用了“admin”或者“root”这样的通用密码,并且一大部分还把密码写死在了硬件里,没办法更改。至于这些硬件的系统,大多更是没有任何加固,也没有升级更新的机制。对于很多黑客来说,搞定他们只需要动动小手指。
根据 Gartner 的预计,到2020年,全球的物联网设备数量将达到200亿台。难以想象 200 亿台设备被黑客控制,将是怎样可怕的场景。
李丰沛说,追踪 HTTP81 的设备,最终会追溯到某白牌摄像头生产企业,位于中国。实际上目前很多摄像头的生产企业都位于智能硬件制造业发达的中国,但受制于成本和意识,很多企业并没有安全意识。
这就像PC时代的历史一样。PC 系统历经10年才有了今天的安全意识,才有了对于白帽子和漏洞的奖励机制,才有了各大安全厂商的 SRC,而智能硬件在短短几年就从零发展到了几千万台。厂商具备安全意识的过程也许不会有10年那么长,但是我们仍然要等待。
实际上,即使是以法律制度健全著称的美国,在去年发生大断网事件以后,国土安全部才发布了 IoT 相关的策略性文章,政府在此指导下的具体规则,还在制定当中。也许在正义的力量集结之前,你和我还要在僵尸网络的笼罩下继续等待。
阳光猛烈,岁月静好,远方的大坝正在出现裂痕。
你猛然驻足。
本文作者史中(微信:Fungungun),雷锋网(公众号:雷锋网)主笔,希望用简单的语言解释科技的一切。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/105002.html