Mirai物联网僵尸网络攻击事件深度剖析
  

深信服安全产品研发 Lv4发表于 2016-11-1 14:47

本帖最后由 深信服安全产品研发 于 2016-11-1 14:54 编辑

Mirai物联网僵尸网络攻击事件深度剖析

物联网DDoS攻击事件分析
北京时间2016年10月21 日晚间,北美地区大量反馈若干重要的互联网网站无法正常访问。涉及到的网站包括 twitter、 paypal、github等。由于这些网站与北美地区日常生活强烈相关,因此这次网络故障被北美主要媒体广泛报道,也引起了安全社区的强烈关注。本次事件是由美国知名网络域名服务提供商Dyn遭受到强力的DDoS攻击所致,深信服第一时间与国外安全社区一起协同,对本次网络事件的数据加以分析并进行溯源跟踪。

目前Flashpoint公司已经确认最近广泛受关注的Mirai僵尸网络参与了本次DDoS攻击。其中,Mirai是一种主要感染IOT(Internet of Things)设备的僵尸程序,该僵尸程序在源码公开后,被黑客快速利用并扩散形成了大量的僵尸网络。

在持续溯源的过程中,深信服倾向认为虽然Mirai贡献了本次攻击的部分攻击流量,但并非所有的攻击流量都来自原始公开版本Mirai。攻击流量具体来源不明,可能是源自深信服数据地缘性导致的分析误差,也可能是来自Mirai的变种或者混合模式的DDoS攻击。

在攻击中受影响的Twitter等多个著名公司都是Dyn公司的客户。Dyn公司使用了四个域名/IP为Twitter提供域名解析服务,这四个IP分布在四个C类段或者两个B类段中,传统上这是一种常见的网络负载均衡手段。四个IP地址如下表所示:

1.png

在本次事件中,四个IP地址在当天19:00~22:50期间的网络流量波形图如下。峰值达到日常背景流量的20倍,可以判定发生了流量攻击。

2.png

深信服对数据进一步分析后认为,攻击者的攻击手段是混合使用DNS flood和 SYN flood。结合媒体的公开报道,可以推断这组攻击得手,使得域名服务器不再对外提供服务,包括twitter.com 网站在这段时间内也无法访问。以下是深信服捕获的部分针对twitter.com域名服务器的攻击流量:

3.png

但是除了Twitter还有大量网站例如 paypal.com 和 github.com也受到此次攻击影响而无法访问,深信服推断这是由于上述攻击所造成的波及效应。如下表所示,paypal和github也是Dyn的客户:

4.png

Dyn为每个重要客户提供四组分布在C类段中的地址,如前所述,这是一种传统的网络负载均衡手段。但是在这个结构中,如果四个网段同时遭到大流量的网络攻击,则全部四个段的客户都会受到影响,这也是此次攻击事件影响广泛的原因。


恶意软件Mirai是什么?
Mirai病毒是一种通过互联网搜索物联网设备的一种病毒,当它扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认或弱密码进行登陆,一旦登陆成功,这台物联网设备就进入「肉鸡」名单,开始被黑客操控攻击其他网络设备。更为致命的是,Mirai 病毒的源代码在 9 月的时候被开发者公布,致使大量黑客对这个病毒进行了升级与变种开发,传染性、危害性比前代更高。

据透露,Mirai 僵尸网络是最近涉及计算机攻击的两大网络之一,其使用了 61 个用户名和密码的组合来强行入侵全球数千台设备。而且,据 CSO(计算机服务机构)得知,僵尸网络的创造者发布了源代码及代码配置和设置说明书,这意味着类似的威胁在近期会继续增加。

5.png

这一攻击事件,或许正好应验了安全专家警告:物联网存在安全风险。不过,目前似乎还没有什么好的办法能够避免类似事件重演。


Mirai Botnet分析
Mirai Botnet模块功能介绍
结合公开的源码,分析Mirai的各模块功能如下:

6.png

Mirai Botnet分析
1、Mirai支持UDP、VSE、DNS、SYN等多种DDoS攻击方式;

2、对受控Bots进行DDoS任务加载,从代码可以看出其是混合型DDoS攻击方式;

3、通过感染后的Bots对网络中开放了23端口的设备进行横向扫描探测,并通过内置预定义的用户名密码字典进行弱口令破解攻击;

4、Mirai在进行横向扫描探测过程中设置了白名单机制,对部分IP段中的IP地址不进行扫描,这些网络段分别是通用电气公司、惠普公司、美国国家邮政局、国防部等公司和机构的IP地址;

5、Kill掉已经入驻系统中的22端口、23端口、80端口进程,并禁用其远程登录服务防止其他攻击者登录访问这台Bot,获得永久控制权;

6、Mirai会通过搜索内存中是否存在QBOT特征、UPX特征、Zollard蠕虫特征、Remaiten bot特征来干掉设备中的其他恶意软件,以达到独占资源的目的;

7、Mirai样本存在反调试的自保护功能,当发现GDB进行调试时即自删除,同时对Watchdog重启设备进行阻止,并停止相关CnC通迅连接;

8、对Mirai样本中部分内置预定义的CnC通迅地址进行算法解密;

9、攻击目标主要是部署有Busybox服务的物联网设备;

10、Botmaster主控端主要监听23端口与101端口。


深信服解决之道
据统计在过去的一年当中,全球与DNS相关的攻击达到了200%的增长,其中58%是针对DNS发起的DDoS攻击。在因与DNS相关的攻击所造成的损失中,以银行业、技术公司及政府领域所遭受的经济损失最为巨大。

据统计,每个DNS攻击所带来的损失平均为约1000万美元。基于这种严峻的攻击态势,越来越多的企业和组织机构更愿意在安全解决方案方面做更多地投入。其中对DNS的保护被越来越看重。

深信服首先从协议层角度进行分析,确认哪些协议最容易被黑客用来做“反射/放大”攻击。下图数据来源于 Arbor Network 2016全球安全报告。

7.png

从统计数据就可以看出来,黑客的大量“反射/放大”攻击是利用了DNS协议(达到84%)。之后从应用层角度进行分析,确认哪些应用层最容易受到DDoS攻击。 下图数据来源于 Arbor Network 2016全球安全报告。

8.png

从统计数据就可以看出,DNS应用是DDoS攻击的首选目标(达到78%)。

针对上述事件的发生,可以利用深信服下一代防火墙产品予以网络安全保障。深信服下一代防火墙主要包含以下针对网络攻击的防护功能:

1、DDoS网络攻击防护:当面临大量SYN Flood、UDP Flood、DNSFlood、ICMP Flood攻击时,能迅速封锁攻击源保证正常业务的运行。

2、域名解析功能障碍灾备:当根域、顶级域服务器发生故障不能正常服务时,甚至所有外部的授权服务器都出现故障时,深信服下一代防火墙DNS代理系统仍可以作为解析孤岛,提供正常的域名解析服务。
3、DNS安全策略联动:对重点域/域名的解析请求进行跟踪监控,当出现异常情况时,启动相关安全联动措施,仅对正常域名进行应答服务。

4、DNS放大攻击防护:当某IP流量异常突增时,自动启动IP分析和安全联动措施,对该IP限速,对应答结果修剪,有效防止DNS服务器成为放大攻击源。

5、多线路流量调度灾备:能够针对有多线路出口的客户,可配置不同的出口策略。

6、弱凭证感知:当合法用户通过弱口令登录各类应用管理系统时,会被智能感知并通知安全管理员存在弱口令安全风险,从而提高账号安全等级。

7、漏洞攻击防护:当攻击者对企业信息资产进行口令暴力枚举或系统漏洞攻击时能很快被检测到攻击行为,并形成有效的防御。

8、僵尸网络检测:当组织内部员工通过即时通讯工具或邮件的方式接收到了恶意软件,在恶意软件与外界发生CnC通讯过程中能很快被检测出来,进而有效保护组织内部信息不被外泄。

9、APT定向攻击检测:深信服下一代防火墙可以通过多种流量识别算法对APT定向攻击和Zero Day攻击及传输过程中的恶意软件进行有效检测,将APT攻击拒于千里之外。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2016-11-1 14:59
  
Mirai病毒是一种通过互联网搜索物联网设备的一种病毒,当它扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认或弱密码进行登陆,一旦登陆成功,这台物联网设备就进入「肉鸡」名单,开始被黑客操控攻击其他网络设备。

病毒太猖狂了,各家安全厂商任重道远啊~
哥丶珍藏版 Lv12发表于 2017-3-1 17:13
  
主要还是信息安全意识缺乏啊
空之领域 Lv4发表于 2017-3-1 17:58
  
病毒还真是无孔不入啊
夏虫语冰 Lv12发表于 2017-5-5 08:26
  
看起来不乐观啊!
adds Lv13发表于 2017-6-22 21:15
  
DDos攻击是最简单也是最难防御的攻击。
AF可以通过限制连接数、封锁攻击源进行丢包处理,但是如果只是UDP DDos攻击,即发送大量UDP数据包,堵塞你互联网出口,让你服务嘎哈无法提供服务的攻击,有什么好的防御手段?
×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

黎健承

本周提问达人