您现在的位置是:首页 > 数字化转型 >

伸向ARC的Satori

2018-03-06 12:15:26作者:Arbor Networks中国和香港地区总经理 徐开勇来源:

摘要2016年末,上了头条新闻的大规模DDoS攻击第一次引起了人们对物联网安全的关注。恶意软件Mirai并没有像大多数威胁软件那样针对Windows系统,它的目标是物联网设备和其他嵌入式系统的漏洞。这些设备是DDoS僵尸网络的极佳选择,因为它们通常运行精简版的Linux,直接连接到互联网,而且安全功能非常有限。...

  Satori是恶名远扬的物联网恶意软件Mirai的继承变种,被研究人员在2017年12月发现。“Satori”这个词在日语里是“开悟”或者“领悟”的意思,但Satori恶意软件带来的却是一片混乱。它的每一个新版本都把目标平台、传播方法和攻击类型进行了重新组合。与传统恶意软件逐渐增强的功能相比,Satori似乎既有进步又有倒退。深入挖掘其历史将有助于我们洞悉这一不断演变的威胁软件。

物联网恶意软件的由来

  2016年末,上了头条新闻的大规模DDoS攻击第一次引起了人们对物联网安全的关注。恶意软件Mirai并没有像大多数威胁软件那样针对Windows系统,它的目标是物联网设备和其他嵌入式系统的漏洞。这些设备是DDoS僵尸网络的极佳选择,因为它们通常运行精简版的Linux,直接连接到互联网,而且安全功能非常有限。

  Mirai及其很多模仿者的运行原理都是类似的:

  · 传播——受感染的设备会随机的去感染其他设备。Mirai开始时便利用了过时的Telnet协议,使用了常见的用户名/密码对。后来的版本则利用具体平台的漏洞来进行传播,例如,家庭路由器Web接口中的命令注入漏洞。

  · 指挥和控制——一旦被感染,僵尸程序除了传播之外,还会定期访问指挥和控制网站,以获取更新和攻击命令。

  · 攻击——一旦接到指挥和控制网站的指令,僵尸主机会协同向受害者发起洪水式的攻击。这包括具有特殊标志的TCP数据包、UDP数据包、HTTP请求,或者其他更复杂的洪水式的攻击。

  Mirai的作者最终公开了该恶意软件的源代码。有了它,任何知道怎样使用编译器的人都能够建立自己的指挥和控制网站,快速构建自己的Mirai僵尸网络。而那些技高一筹的人还可以添加新的传播方法、指挥和控制协议,以及新攻击类型等特性。

Satori

  研究人员第一次发现Satori是在2017年12月,后来又陆续出现了其他版本。最初发现的Satori与Mirai的不同之处在于其传播方法针对的是物联网设备中的两个漏洞——华为家庭网关的“零日”,以及Realtek的UPnP SOAP接口中已知的命令执行漏洞。这两种漏洞显然都是针对两类非常具体的设备,这与和设备无关的Mirai不同,Mirai所感染的设备一般使用了默认的或者很容易被猜到的Telnet用户名和密码。尽管有证据表明Satori至少重新使用了Mirai部分公开的代码,其非常有针对性的攻击才是引起研究人员注意的原因所在。

  也许是为了进一步把水搅浑,其他版本的Satori确实使用Telnet来传播,但是有更复杂的用户名和密码列表。

  包括Satori在内的所有物联网恶意软件都是以编译后的、随时可以运行的格式发送给受害者的。这意味着专门针对受害者的架构编译了Linux可执行文件。例如,ARM设备不能运行为x86处理器编译的可执行文件。在发送其有效载荷之前,Mirai和Satori会试探受害者,确定要下载并执行Mirai经过预编译的哪一个二进制版本。而Satori魔高一丈,引入了新的架构——SuperH和ARC。还不清楚Satori背后的犯罪分子为什么这样做,是因为他们知道有易感染的主机,还是碰运气而已。

  下面的图表基于ASERT的分析,介绍了Satori三种最新变种的相似性和差异性。参考文献[1]-[5]提供了包括其他IoC在内的补充信息。由于变种1缺少参考文献[1]所描述的功能,因此表中不包括它。

  我们要特别指出的是Satori的第4个变种,因为它看起来是第一个已知的ARC恶意软件。它能够在ARC芯片上运行,这将捕获更多的僵尸网络主机。据参考文献[6],一篇写于2014年的文章,“ARC处理器IP内核已经获得了190多家公司的许可,每年应用于超过15亿的产品中。”然而,这个新领域现在已被打破,这为其他恶意软件作者攻击该架构铺平了道路。

DDoS缓解

  Satori的所有变种都利用了Mirai DDoS攻击代码库的不同子集,因此,长期以来基于Mirai的DDoS缓解措施仍然适用。例如,可以参考ASERT博客中名为“Mirai物联网僵尸网络介绍”,以及“DDoS攻击缓解”文章中的实例[7]。Arbor客户还可以向其账户管理部门或者Arbor ATAC申请最新的ASERT Mirai威胁咨询,获得详细的Arbor具体产品缓解建议。

  此外,DDoS恶意软件持续的向不同处理器架构扩展,进一步说明了网络运营商应采用网络当前最佳实践(BCP)。虽然Mirai常常把采用了弱密码的IPTV摄像机和DVR作为攻击目标,但威胁犯罪分子总是想从还未被攻破的设备那里有所斩获。随着恶意软件作者把魔爪伸向ARC和其他嵌入式处理器,DDoS恶意软件会去破坏多种连接了互联网的设备,例如,手机、游戏机等。网络运营商必须重新思考他们的防御策略,保护内部设备不被攻破,包括那些以无线方式联网的设备。如果没有主动实施网络架构和运营BCP,那么由于扫描和对外DDoS攻击所带来的附带损害后果就会非常严重。参考文献[8]和[9]提供了BCP相关参考。

总结

  物联网恶意软件的影响不言而喻,而且威胁形势还在不断演变。弱得不能再弱的是采用默认用户名和密码,这已经被滥用了,攻击者转向会更有收获的攻击——利用设备本身的漏洞。这在Mirai于2016年带给世界的预兆中已经有所反映——物联网设备是不安全的,会被滥用。我们认为物联网恶意软件的三个基本原理还是那样——传播、指挥和控制,以及攻击,但随着时间的推移将变得更加复杂,不断演进。

参考文献

  [1] https://researchcenter.paloaltonetworks.com/2018/01/unit42-iot-malware-evolves-harvest-bots-exploiting-zero-day-home-router-vulnerability/

  [2] https://research.checkpoint.com/good-zero-day-skiddie/

  [3] http://blog.netlab.360.com/warning-satori-a-new-mirai-variant-is-spreading-in-worm-style-on-port-37215-and-52869-en/

  [4] http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/

  [5] https://www.reddit.com/r/LinuxMalware/comments/7p00i3/quick_notes_for_okiru_satori_variant_of_mirai/

  [6] http://www.techdesignforums.com/practice/technique/power-performance-processor-ip/

  [7] https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/

  [8] https://app.box.com/s/osk4po8ietn1zrjjmn8b

  [9] https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

关于作者

  徐开勇(George Tsui)

  Arbor Networks 中国和香港地区总经理

  徐开勇(George Tsui)先生现任Arbor Networks 中国和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络,以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入Arbor Networks之前,他曾任英国电信公司区域总监,管理大中华区的销售渠道业务和运营,全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前,他曾在香港电讯和Infonet香港公司担任不同的高级职务。

  徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验,其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

  徐开勇先生在香港办公,他拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。


(本文不涉密)
责任编辑:路沙

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们