在路由器0天内构建的10万个僵尸网络可以随时攻击

  凤凰动态     |      2018-06-18

一名研究人员周一警告说,攻击者利用一种新的米拉伊物联网恶意软件,悄悄集结了10万台家用路由器,随时可以用来发动网络瘫痪攻击。自14个月前源代码公开发布以来,

僵尸网络运营商一直定期发布新版本的Mirai。通常,新版本包含一些小的调整,其中许多包含一些业余错误,阻止新版本受到原始Mirai的冲击,Mirai在一系列分布式拒绝服务攻击中发挥了关键作用,这些攻击削弱或暂时摧毁了Twitter、GitHub、PlayStation网络和其他关键互联网服务。宽带互联网提供商世纪链接的首席安全策略师戴尔德鲁告诉Ars,

这一最新变种的独特之处在于,它能够利用最近发现的零日漏洞感染家用和小型办公室路由器的两条广泛使用的线路,即使它们使用强密码进行安全保护或者远程管理完全关闭。受影响的华为设备之一是echo life家庭网关,另一个是华为家庭网关。在新感染的10万台设备中,大约有9万台是华为的两种路由器型号之一。新的恶意软件还有一个65,000个用户名和密码组合的词典,可以用来对付其他类型的设备。德鲁周一告诉Ars说:「进一步准备评估收割者僵尸网络对互联网构成的威胁,我们现在知道这是一个相当复杂的方法。」未知操作员现在拥有相当多的扫描部队,他正在向他的物联网池中添加越来越多的向量。

到目前为止,Mirai已经掠夺了配置为使用默认密码通过Internet管理的路由器。10月,研究人员记录了一种新的物联网僵尸网络“收割者”。它很新颖,因为它利用远程代码执行漏洞感染了设备。新米拉伊菌株采取了同样的方法。进一步阅读互联网瘫痪的米拉伊僵尸网络在新僵尸网络出现后的近两周时间里以新的紧张状态卷土重来,运营商除了利用被感染的设备扫描互联网寻找更易受攻击的设备然后感染它们之外,几乎没有做什么。德鲁警告说,运营商可以随时使用这些受损设备进行破坏性的DDoS攻击,可能是针对想要结算个人积分或从在线服务中勒索金钱的人的收费服务。僵尸网络是上周来自中国Netlab 360的同一名研究人员。

安全专业人员能够截获用于控制僵尸网络的两个域名,但德鲁说,此后运营商已经设法通过新的命令和控制渠道重新控制受感染的设备。cellogy link最近收购的骨干提供商三级网络正在利用其网络阻止控制服务器与受感染设备的通信,但仍有大量网络允许僵尸网络自由运行。德鲁说,目前,安全专家除了密切监视僵尸网络并阻止它可能使用的任何新的控制渠道之外,别无选择。

可怕的故事是,僵尸网络运营商拼命试图访问数十万甚至数百万个节点,他说。我们一直说保护互联网需要一个村庄。当我们发现一个坏人时,我们会更快地得到隐藏和封锁的信息。