SSL信息上周,网络攻击者在DNS服务器上使用分布式拒绝服务攻击(DDoS),企图破坏多家大型网站,这其中就包括社交网络Twitter、网上支付服务网站PayPal和音乐服务商Spotify。
最令人关注的是,这次攻击主要是使用名为“Mirai” (Linux.Gafgyt)的物联网(IOT)僵尸网络加以执行的。
问:Mirai是什么时候出现的?
答:Mirai首次引起公众注意是在9月20号,当时网络攻击者使用Mirai对记者Brian Krebs的网站进行了大型DDoS攻击,传输速度达到了620 Gbps。
之后,英文黑客社区Hackforums一个网名为“Anna-senpai”的用户于9月30日公开发布了该僵尸网络的源代码。
问:Mirai是如何运行的?
答:僵尸网络利用安全性薄弱的物联网设备加以运行。僵尸网络不断对互联网上的物联网设备进行扫描,并找出那些使用出厂默认值或硬编码用户名和密码的物联网设备。
在安全响应部门一篇上个月的博文中,我们透露了相关的研究结果。研究结果表明用户很少更换默认的用户名和密码。
Mirai使用恶意软件对设备进行干扰,强迫这些设备向中心控制服务器汇报信息,使其成为了可用于DDoS攻击中的僵尸设备。
问:Mirai用在哪次攻击之中?
答:上面提到了Mirai对记者Krebs网站的攻击,其传输速度打破了当时的记录。后来,Mirai又用以对法国公司OVH进行攻击,传输速度的峰值逮到了1 Tbps。
上周Mirai对Dyn的攻击使互联网上很多流量停滞不动,人们对此给予了极大关注,同时也对这些DDoS攻击的强大能力提出疑问。在此次攻击之后,Dyn在一篇博文中声称“在这次攻击中,发现了数百万个与Mirai僵尸网络相关的IP地址,存在时间为十秒钟”。执行进一步分析之后,Dyn又调低了预估值。
问:何种设备容易受其利用/感染?
答:路由器、数字录像机、闭路电视摄像头、联网设备,和任何“智能设备”都有受攻击的风险。
在这次Dyn所受的攻击中,网络摄像头是主要遭受利用的设备,而在OVH所受的攻击中,闭路电视摄像头则是主要遭受利用的物联网设备。这些设备没有防火墙或NAT路由器的保护,因此很容易地遭到入侵。此外,很多物联网设备都拥有一个名为即插即用(UPnP)的功能,这种功能可以打开路由器端口以访问互联网。
问:相关设备制造商如何响应?
答:参与攻击的设备还包括中国电子企业雄迈科技有限公司生产的网络摄像设备,该公司已宣布召回相关设备。
问:我的设备受攻击的几率有多大?
答: 普通物联网设备每两份钟被扫描一次。这意味着,安全性能差的设备(如使用默认密码的设备)可能在几分钟内就会遭受网络入侵。
问:物联网设备为什么会成为攻击目标?
答:很多物联网设备的安全性很差,从而成为了脆弱的目标。正因如此,网络攻击者在预编写恶意软件时大多使用常见密码或默认密码。物联网设备处理能力受限且仅使用基本操作系统,这意味着很多物联网设备可能不具备任何先进的安全功能。而且,物联网设备在插入系统之中通常会遭到遗忘,用户也不会经常对其进行安全升级,因此网络攻击者可以很轻松地攻击此类设备而不被发现。
问:Mirai的开源代码为什么会泄露?
答:这一点尚未得知。不过,恶意软件开源代码遭到泄露的原因通常是由于网络攻击者害怕露出马脚,便将恶意软件发放到更多网络攻击者手中,以起到“混淆视听”的作用。
源代码泄露可导致新型恶意软件的出现。其他网络攻击团伙很可能会对Mirai加以调整,从而攻击更多的物联网设备。
问:可以将Mirai感染移除吗?
答:受Mirai感染的设备可通过重启的方法将其移除。然而,僵尸网络会持续扫描设备,所以安全性差的设备可能在几分钟内重新受到网络感染,除非用户将设备账户默认信息加以更改。
问:我怎么做才能保护我的设备,使其免受感染?
答:
- 在购买物联网设备前,先对其能力和安全特性进行研究
- 对网络上使用的物联网设备加以审查
- 更改设备上的账户默认信息。为设备账户和无线网络使用强大和独特的密码
- 在设置无线网络安全接入协议(WPA)时使用强大的加密措施
- 禁用无关的功能和服务。
- 禁用Telnet登录功能,并尽可能使用SSH安全协议
- 在路由器上禁用即插即用设备,除非必须这么做
- 依据您的要求和安全策略,对物联网设备的默认隐私和安全设置进行调整
- 禁用或防止对物联网设备的无关远程访问
- 尽可能使用有线连接,而非无线连
- 在固件制造商网站上定期查看固件的升级信息
- 确保硬件故障不能导致设备安全性下降
本文转载自symentic security reponse