Mirai僵尸网络.pptx

NOTE-mirai2018-01-29IOT 僵尸网络严重威胁网络基础设施安全典型的IoT-DDoS僵尸网络包括2013年出现的CCTV系列，肉鸡MM系列（chickenMM，数字系列10771、10991、25000、36000），BillGates，Mayday，PNScan，gafgyt等众多基于Linux的跨平台DDoS僵尸网络家族名称变种数量样本 HASH 数量Trojan[DDoS]/Linux.Mirai2大于 100Trojan[DDoS]/Linux.Xarcen5大于 1000Trojan[DDoS]/Linux.Znaich3大于 500Trojan/Linux.PNScan2大于 50Trojan[Backdoor]/Linux.Mayday11大于 1000Trojan[DDoS]/Linux.DnsAmp5大于 500Trojan[Backdoor]/Linux.Ganiw5大于 3000Trojan[Backdoor]/Linux.Dofloo5大于 2000Trojan[Backdoor]/Linux.Gafgyt28大于 8000Trojan[Backdoor]/Linux.Tsunami71大于 1000Worm/Linux.Moose1大于 10Worm[Net]/Linux.Darlloz3大于 10IOT 僵尸网络严重威胁网络基础设施安全Mirai等针对物联网设备DDoS入侵主要通过telnet端口进行流行密码档的暴力破解，或默认密码登陆，如果通过Telnet登陆成功，就尝试利用busybox等嵌入式必备的工具进行wget下载DDoS功能的bot，修改可执行属性，运行控制物联网设备。由于CPU指令架构的不同，在判断出系统架构后，一些僵尸网络可以选择MIPS、ARM，x86等架构的样本进行下载，运行后接收相关攻击指令进行攻击。弱密码示例如下：rootadminuserloginguestsupportoraclenetmanoperatorAdministratorciscotelnetdevicetechnetgeartoororaclenetgear1changemevizxv7ujMko0vizxvjuantechrealtekxmhdipchi3518Zte521zlxxsupervisorsmcadminsystemdreamboxmeinsmubntklv123ankoxaxided12345123456defaultpassvagrantklv1234jvbzd7ujMko0adminikwbpassowrdIOT 僵尸网络严重威胁网络基础设施安全DVR，网络摄像头，智能路由器产品中部分存在弱密码的品牌IOT 僵尸网络严重威胁网络基础设施安全Mirai源码目录结构分析IOT 僵尸网络严重威胁网络基础设施安全Mirai源码主要包括两部分：1) loader：加载器，其中存放了针对各个平台编译后的可执行文件，用于加载Mirai的实际攻击程序2) Mirai：用于实施攻击的程序，分为bot（被控制端，使用C语言编写）和cnc（控制端，使用Go语言编写）两部分被控制端具有以下模块：模块文件名模块作用attack.c用于攻击的模块，所调用的攻击子模块在其他 attack_xxx.c 中定义checksum.c用于计算校验码的模块killer.c用于结束进程的模块main.c用于调用其他子模块的主模块rand.c用于生成随机数的模块resolv.c用于解析域名的模块scanner.c用于扫描的模块，可以扫描网络上可被攻击（如使用弱口令的设备）table.c用于存放经过加密的域名数据的模块util.c用于提供一些使用工具的模块IOT 僵尸网络严重威胁网络基础设施安全2014年之前使用Linux系统的IoT设备被植入恶意代码的方式主要是通过扫描弱密码，但在破壳漏洞（CVE-2014-6271）出现后，互联网上出现了大量利用该漏洞进行扫描并植入恶意代码的事件，针对Linux主机入侵的事件呈现全面上升的趋势。IoT僵尸网络的快速蔓延来自如下因素的组合：1、 随着小到智能家居、大到智慧城市的物联网蓬勃发展，在线IoT设备数量大幅增加；2、 随着作为主流桌面操作系统的Windows的内存安全（如DEP、ASLR、SEHOP）等方面的能力不断强化，依托远程开放端口击穿Windows变得日趋困难，但对于普遍没有经过严格的安全设计的IoT设备的远程注入的成功率则高的多。3、 IoT设备自身多数未嵌入安全机制，同时其又多半不在传统的IT网络之内，等于游离于安全感知能力之外，一旦遇到问题有的也不能有效响应。4、 IoT设备往往更多24小时在线，是比桌面Windows更“稳定”的攻击源。