M6米樂

一個跨越一年多的可能給我們帶來新的思考-“僵尸”就要來了，很難阻止.

2017年底，美國司法部宣布，創建“大東方網絡”的Mirai僵尸網絡的創建者認罪. 2016年在美國東部肆虐的第一次全球物聯網攻擊再次引起關注.

事實上，雷鋒此前曾警告說，安全研究人員隨后監控的大型僵尸網絡比Mirai的“僵尸軍”要大得多. 例如，比Mirai更大的“ Satori”僵尸網絡. Satori在短短12個小時內感染了超過260,000個IP地址，并利用了新發現的華為HG532系列路由器的命令執行漏洞CVE-2017-17215（現已提供處理建議）來控制數十萬個家用路由器. （有關詳細信息，請參閱Lei Feng.com報道: “一個龐大的僵尸網絡Satori來到一個中國品牌路由器，并泄露了作者的身份. ”）

但這只是冰山一角. 看似受控的“ Satori”背后還有更多隱藏的潛在風險. Lei Feng.com與360 Cyber?? nit @@@@@@的安全研究員李鳳培聯系，試圖探索這個更加秘密的``僵尸''世界.

1. 為什么“ Satori”以華為路由器為目標？有什么隱藏的東西嗎？

李鳳培: 現在Satori在12小時內的活躍數量為260,000，我們估計總體規模應該在600,000路由器左右，這是一個級的“僵尸網絡”.

Satori大量繼承了Mirai的原始代碼. 其主要結構與Mirai非常相似，但是感染方法和感染目標已發生變化. 至于為什么它是華為路由器，而不是其他路由器. 我認為攻擊者應該嘗試過多種感染方法，并碰巧碰到了一個可能會造成很多漏洞的路由器，而該的數量已達數百萬個，因此很快招募了60萬個“僵尸”，這主要是因為家用路由器.

2. 我們應該責怪設備制造商的“無所作為”嗎？

李鳳佩: 這涉及供應鏈. 說“設備供應商不為安全而努力”是不客觀的. 新相機將采取安全措施. 實際上，他們還積極尋求如何使設備更安全.

更困難的問題是已發布的設備. 它們已經在Internet上，并且有數百萬. 如果發現任何設備型號有問題，則制造商將難以控制. 例如，這件東西賣給了國家A和C，但沒有賣給國家B，但是發現該設備在國家B中非常多，因為銷售管理渠道會引導商品，這是無法控制的. 制造商，它可能找不到要通知和處理的人.

其中一些在出售后已失控. 為什么在中國會更好？國內采購通常是工業. 例如，高速公路的管理將集中于購買一批，如果出現問題，則更容易找到人. 只要有人負責，就可以隨時向前推進. 這就是為什么中國使用很多相機的原因，但是聽起來它并沒有受到如此嚴重的攻擊. 他們已經完成了工作. 至于他們是否會盡最大努力滿足社會的期望僵尸網絡，這尚待判斷. 我們不會對別人說壞話.

3. 某些IoT報告稱，路由器，相機和打印機是物聯網中最具潛在安全風險的設備. 你覺得呢？

李鳳佩: 打印機很少暴露在外部網絡中. 我們不是在研究漏洞，漏洞是潛在的威脅，而是在研究實際上已經發生并已被實際利用的設備. 我特別想說的是，注意家用路由器. 美國司法部提到的有罪信稱，當Mirai的三名罪犯在2016年12月進行漏洞注入時，受感染的設備是家用路由器，而不是攝像機.

核心原因是路由器在網絡上的暴露區域足夠大，并且路由器必須具有公共網絡地址，該地址可以從外部進行掃描，這是決定性的. 除了起決定性作用之外，現有設備的已知漏洞尚未修補，還存在一些未知漏洞，并且舊設備也是原因.

您家中的打印機將不會直接具有公共網絡地址，而相機和路由器將具有公共網絡地址. 我們想提醒大家，家用路由器的實際問題比攝像機要嚴重得多. 而且家用路由器有問題，您可能根本不會意識到，只要您可以訪問Internet，個人就不會意識到路由器是受控的.

對于家庭用戶，如果網絡速度變慢，則可以重啟路由器，這樣就可以了. 攻擊者正在大面積種植，成本非常低. 他不太關心在被感染的設備上隱藏行蹤.

4. 沙都的事情現在解決了嗎？

李鳳佩: Satori的影響力確實很大. 在12小時內感染260,000次之后，許多其他安全公司證實了我們在發送報告后看到的數量. 每個人都看到這個僵尸網絡是如此之大. ISP，運營商和DNS運營商自發地工作. 他們花了兩天時間從僵尸網絡控制器接管了控制器的域名和IP地址.

這不是一個完美的解決方案. 他們可以接管主域名和IP地址主服務器，這會大大減慢僵尸網絡的發展；但是該設備的漏洞仍然存在，并且已經有人知道如何進行操作僵尸網絡，并且可以以更細微的方式再次進行操作.

5. 再次掃描并創建另一個（控制端）域名？

李鳳培: 是的，成本很低.

6. 怎么玩？殺死一個然后長出另一個.

李鳳佩: 是的. 在網絡空間中采取的這些措施可以抑制和減輕這種威脅. 例如，攻擊者下次將不會以掃描方式進行掃描，在之前的12小時內已掃描了260,000臺設備. 也許在采取措施之后，我們可以將其減少到12天. 26萬個設備. 但是，僅此而已. 歸根結底，要徹底解決這一問題，需要執法機構的“有形”鎮壓，并將嫌疑人入獄.

對于小盜賊，您可以使用上面提到的網絡安全空間，但是對于真正的江陽小偷，您只能依靠執法機構. 外國銀行機構將對此事給予更多關注. 只要你攻擊我一次，我一定會把你送進監獄的，否則無數人會來攻擊我. 即使您沒有直接攻擊我，也沒有攻擊我的客戶.

結論

如果您密切關注華為HG532系列命令執行漏洞CVE-2017-17215的進展，您會發現幾天前，國內安全公牛TK在微博上說: “關于華為HG532遠程命令執行漏洞（CVE-2017-17215），所有相關文章都說制造商提供了補丁-寫文章的學生，您真的看到補丁了嗎？”隨后，他說華為HG532系列路由器命令執行漏洞CVE-2017 -17215可能比現在每個人都看到的危險更大. 用于觸發此漏洞的端口只能在默認配置下通過Intranet訪問. 可以通過CSRF遠程利用此漏洞.

這意味著即使在現有的聯合勒索情況下，“ Satori”似乎也保持沉默，但事情遠未超出李鳳培所說的“ Satori”是否可以輕松更改，或者TK等發現了新的利用形式的漏洞可能導致新的威脅.

僵尸世界無窮無盡.

但是仍然有希望. 正如李鳳培所說，在金融行業案例中“必須報告仇恨”-被僵尸網絡攻擊的金融行業損失了，因此金融機構一定會進行反擊，并與離線攻擊結合，進行此類攻擊作者起到了威懾作用.

如果其他行業的受害者，安全從業人員和執法機構“跟進”，結果會有所不同嗎？

我們正在等待這個答案.

微信公眾號搜索“開車回家”并注意，每日最新的手機，計算機，汽車，智能硬件信息可以讓您掌握一切. 建議關注！ [下圖可以直接進行微信掃描]

本文來自電腦雜談，轉載請注明本文網址：
http://www.subeirui520.com/a/jisuanjixue/article-242046-1.html