一起跨越一年多的案件可能帶給我們新的思考——「殭屍」來了,很難擋住。
2017年年末,美國司法部門宣布製造了「美國東部大斷網」的Mirai 殭屍網絡始作俑者認罪,這起在 2016 年肆虐美國東部的全球首起物聯網攻擊再次引發了人們的關注。
事實上,雷鋒網此前已經預警,安全研究員們隨後監測到的大型殭屍網絡都比 Mirai 的「殭屍軍隊」要大得多。比如,規模比 Mirai 大很多的「 Satori」的殭屍網絡。Satori 在短短 12小時內感染了超過 26萬個 IP 地址,利用最新發現的華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215(現已有處理建議)控制了數十萬臺家庭路由器。(詳情見雷鋒網報導《巨大殭屍網絡 Satori 衝著中國某品牌路由器而來,作者身份被披露》)。
但這只是冰山一角,現在看似被控制住的「 Satori」背後還有更多隱情和潛在風險。雷鋒網與360 網絡安全研究院安全研究員李豐沛取得聯繫,試圖探索這個更隱秘的「殭屍」世界。
1、「 Satori」為什麼針對的是華為路由器,有什麼隱情嗎?
李豐沛:現在Satori在12個小時的活躍數是26萬,我們估計總體規模應該是在60萬路由器左右,這是核武器級別的「殭屍網絡」。
Satori大量繼承了Mirai的原代碼,主體結構跟Mirai非常類似,但是感染手段和感染對象發生了變化。至於為什麼是華為路由器,而不是其他路由器。我認為,攻擊者應該進行了多種感染方式的嘗試,碰巧命中了一個能拿下非常多的路由器漏洞,而且基數以百萬計,所以很快招募到了60萬臺「殭屍」,而且主要是家用路由器。
2、我們應該怪設備廠商「不作為」嗎?
李豐沛:這涉及到供應鏈。說「設備供應廠商不為安全做努力」不客觀,新出的攝像頭都會有安全措施,他們其實也在積極尋求如何讓設備更安全。
比較難處理的問題是——已經放出去的設備。它們已經存在網上,數量以百萬計,如果發現哪個設備型號有問題,廠商也很難控制。比如,這個東西賣給了A國、C國,沒對 B國賣過,但發現這個設備在B國非常多——因為銷售管理渠道會竄貨,這就不在廠商的控制範圍內了,它可能都無法找到一個人通知和處理。
賣出去後,有些就已經脫離控制了。為什麼國內好一點?國內往往是行業採購,比如,高速公路的管理機構會集中採購一批,如果出了問題,好找人。只要有管事的,總能推得下去。這就是為什麼中國用了很多攝像頭,但聽起來好像被攻擊得不是那麼厲害的原因。他們是做了工作的,至於是否百分百盡力,是否達到社會的預期,這個有待評判,我們不說人家壞話。
3、一些 IoT 報告稱,路由器、攝像頭、印表機是物聯網安全隱患最多的設備,你怎麼看?
李豐沛:印表機暴露在外網少一點。我們不是從漏洞來看,漏洞是潛在威脅,我們看的是已經實際發生的,已經被實際利用的設備。我特別想說,要注意家用路由器。美國司法部提到的認罪書說,Mirai的三個犯罪人員在2016年12月份做漏洞注入時,感染的設備是家用路由器,不是攝像頭。
核心原因是路由器在網絡上的暴露面足夠大,路由器一定有公網地址,外面可以掃得到,這有決定性意義。除了決定性的一條,存量設備已知漏洞沒有修補、有一些未知漏洞、設備比較老,也都是原因。
你家裡的印表機不會直接有一個公網地址,攝像頭、路由器都有一個公網地址。我們要提醒大家,家用路由器實際發生的問題比攝像頭嚴重得多。而且家用路由器真出了一點什麼問題,你可能根本沒有意識到,只要你能上網,個人不會意識到路由器被控制。
從家庭用戶來說,如果網速變慢,你可能會重啟路由器,你就覺得沒事了。攻擊者是大面積播種,成本很低,他不太在意在感染設備這一端上隱匿自己的行蹤。
4、Satori 的事情現在算完美解決了嗎?
李豐沛:Satori的影響確實挺大的。12小時感染26萬,報告發出去以後,很多其他安全公司紛紛確認我們看到的數量。每個人都看到說這個殭屍網絡怎麼這麼大。ISP、運營商、DNS運營商他們自發地工作,花了兩天,把控制端的域名和IP位址從殭屍網絡控制者那裡接管過來。
這並不算完美解決。他們可以接管主控的域名和 IP 地址主控,可以顯著減緩殭屍網絡發展;但是設備的漏洞仍然存在,而且已經有人知道如何做,可以以比較隱蔽的方式重新做一次。
5、再掃描一次,再做一個(控制端)域名就行了?
李豐沛:對,成本很低。
6、那怎麼玩?打掉一個又長出來一個。
李豐沛:是。在網絡空間做的這些措施,可以抑制減緩這個威脅,比如,攻擊者下次不會大張旗鼓地掃,之前12小時掃到了 26萬臺設備,也許我們採取措施後,後來可以降低到12天掃26萬臺設備。但也是僅此而已,要歸根結底徹底解決這個問題,需要執法機關的「肉體」打擊,把嫌疑人關到監獄裡。
對付小毛賊,可以用前面提到的網絡安全空間的方式解決,但對付真正的江洋大盜,只能靠執法機關。國外銀行機構會比較關注這件事,你只要攻擊我一次,我一定把你弄到監獄,否則後面有無數人會來攻擊我。哪怕你沒有直接攻擊我,你攻擊了我的客戶也不行。
結語
如果你曾密切關注華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215的進展,就會發現幾天前,國內安全大牛 TK 在微博表示:「關於華為 HG532 遠程命令執行漏洞(CVE-2017-17215),所有相關文章中都說廠商已經提供了補丁——寫文章的同學們,你們真的看到補丁了?」隨後,他稱,華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215 可能比目前大家所看到的更危險。觸發這個漏洞所利用的埠在默認配置下只能在內網訪問,該漏洞完全可以通過 CSRF 遠程利用。
這意味著,即使在現有的聯合絞殺下,「 Satori」看似沉寂著,但事情遠未結束——無論是李豐沛所說的「 Satori」可以輕易改頭換面,還是TK 等人發現的該漏洞的新利用形式可引發的新威脅。
殭屍世界,一望無盡。
但還是有希望的。就如李豐沛所說的「有仇必報」的金融業案例——遭到殭屍網絡攻擊的金融業損失的是真金白銀,所以金融機構一定會反擊,結合線下打擊,給這類攻擊者產生了威懾力。
其他行業的受害者、安全從業者與執法機構如果「一追到底」,結果會不會不一樣?
我們等待這個答案。