1.概述

安天安全研究與應(yīng)急處理中心(安天CERT)在北京時(shí)間10月22日下午啟動(dòng)高等級(jí)分析流程，針對(duì)美國(guó)東海岸DNS服務(wù)商Dyn遭遇DDoS攻擊事件進(jìn)行了跟進(jìn)分析。安天團(tuán)隊(duì)分析認(rèn)為，此事件有一定的政治因素背景，涉及到IoT(Internet of Things，物聯(lián)網(wǎng))設(shè)備安全等多種因素，在表象的DDoS攻擊和DNS安全之外，依然有很多值得關(guān)注和研究的問題。

事件相關(guān)背景如下：美國(guó)當(dāng)?shù)貢r(shí)間2016年10月21日，為美國(guó)眾多公司提供域名解析網(wǎng)絡(luò)服務(wù)的Dyn公司遭DDoS攻擊。Dyn公司在當(dāng)天早上確認(rèn)，其位于美國(guó)東海岸的DNS基礎(chǔ)設(shè)施所遭受DDoS攻擊來自全球范圍，嚴(yán)重影響其DNS服務(wù)客戶業(yè)務(wù)，甚至導(dǎo)致客戶網(wǎng)站無法訪問。該攻擊事件一直持續(xù)到當(dāng)?shù)貢r(shí)間13點(diǎn)45分左右。該公司在官網(wǎng)表示將追查此事，并將發(fā)布事件的分析報(bào)告。

圖1 -1Dyn官方確認(rèn)

圖1 -2官網(wǎng)事件狀態(tài)更新情況

本次Dyn遭到攻擊影響到的廠商服務(wù)包括：Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify、Intercom，據(jù)稱PayPal、BBC、華爾街日?qǐng)?bào)、Xbox官網(wǎng)、CNN、HBO Now、星巴克、紐約時(shí)報(bào)、The Verge、金融時(shí)報(bào)等的網(wǎng)站訪問也遭到了影響。Dyn公司稱此次DDoS攻擊事件涉及IP數(shù)量達(dá)到千萬量級(jí)，其中很大部分來自物聯(lián)網(wǎng)和智能設(shè)備，并認(rèn)為攻擊來自名為“Mirai”的惡意代碼。

黑客組織NewWorldHackers和Anonymous宣稱對(duì)此事件負(fù)責(zé)，此事件被認(rèn)為是用以抗議正在厄瓜多爾駐英國(guó)大使館避難的維基解密創(chuàng)始人阿桑奇遭遇斷網(wǎng)的事件。

名詞解釋：DNS服務(wù)器，是進(jìn)行域名和與之相對(duì)應(yīng)的IP地址轉(zhuǎn)換的服務(wù)器。DNS中保存了一張域名和與之相對(duì)應(yīng)的IP地址的表，以解析消息的域名。根據(jù)解析結(jié)果進(jìn)行目標(biāo)站點(diǎn)訪問。若DNS服務(wù)器遭受DDos攻擊，則無法正常解析域名，故用戶無法訪問對(duì)應(yīng)目標(biāo)站點(diǎn)。

2.安天對(duì)智能設(shè)備僵尸網(wǎng)絡(luò)的捕獲分析情況

目前，依托IoT設(shè)備的僵尸網(wǎng)絡(luò)的規(guī)模不斷增長(zhǎng)，典型的IoTDDoS僵尸網(wǎng)絡(luò)家族包括2013年出現(xiàn)的CCTV系列、肉雞MM系列(ChiekenMM，數(shù)字系列10771、10991、25000、36000)、BillGates、Mayday、PNScan、gafgyt等眾多基于Linux的跨平臺(tái)DDoS僵尸網(wǎng)絡(luò)家族,安天對(duì)這些木馬的規(guī)范命名如下。

其中在本次事件中被廣泛關(guān)注的Mirai的主要感染對(duì)象是物聯(lián)網(wǎng)設(shè)備，包括：路由器、網(wǎng)絡(luò)攝像頭、DVR設(shè)備。從事DDoS網(wǎng)絡(luò)犯罪組織早在2013年開始就將抓取僵尸主機(jī)的目標(biāo)由Windows轉(zhuǎn)向Linux，并從x86架構(gòu)的Linux服務(wù)器設(shè)備擴(kuò)展到以嵌入式Linux操作系統(tǒng)為主的IoT設(shè)備。

Mirai日語的意思是“未來”，研究人員將新變種命名為“Hajime”，日語的意思是“起點(diǎn)”。

安天捕獲并分析了大量關(guān)于智能設(shè)備、路由器的惡意樣本，并配合主管部門對(duì)對(duì)部分設(shè)備進(jìn)行了現(xiàn)場(chǎng)取證。這些設(shè)備主要是MIPS、ARM等架構(gòu)，因存在默認(rèn)密碼、弱密碼、嚴(yán)重漏洞未及時(shí)修復(fù)等因素，導(dǎo)致被攻擊者植入木馬。由于物聯(lián)網(wǎng)設(shè)備的大規(guī)模批量生產(chǎn)、批量部署，在很多應(yīng)用場(chǎng)景中，集成商、運(yùn)維人員能力不足，導(dǎo)致設(shè)備中有很大比例使用默認(rèn)密碼、漏洞得不到及時(shí)修復(fù)。包括Mirai等針對(duì)物聯(lián)網(wǎng)設(shè)備DDoS入侵主要通過telnet端口進(jìn)行流行密碼檔暴力破解，或默認(rèn)密碼登陸，如果登陸成功，通過telnet登陸成功后就嘗試?yán)胋usybox等嵌入式必備的工具進(jìn)行wget下載DDoS功能的bot，修改可執(zhí)行屬性，運(yùn)行控制物聯(lián)網(wǎng)設(shè)備。由于CPU指令架構(gòu)的不同，在判斷了系統(tǒng)架構(gòu)后一些僵尸網(wǎng)絡(luò)可以選擇MIPS、arm、x86等架構(gòu)的樣本進(jìn)行下載。運(yùn)行后接收相關(guān)攻擊指令進(jìn)行攻擊。

從一個(gè)Mirai的樣本里面可以看到如下的弱密碼：

安天在此前跟進(jìn)IoT僵尸網(wǎng)絡(luò)跟蹤分析過程中，發(fā)現(xiàn)如下包括DVR、網(wǎng)絡(luò)攝像頭、智能路由器的品牌中有部分型號(hào)存在單一默認(rèn)密碼問題。

圖2 -1 部分型號(hào)存在默認(rèn)密碼的設(shè)備品牌

Mirai Botnet的相關(guān)源代碼于2016年9月30日被一名ID為『Anna-senpai』的用戶發(fā)布在hackerforums論壇。該用戶聲稱，代碼出于『讓用戶增加對(duì)安全工業(yè)的重視程度』的目的而發(fā)布。在代碼被公布后，相關(guān)技術(shù)立刻被運(yùn)用到其他的惡意軟件項(xiàng)目中。在2016年10月4日，這份代碼被上傳到github上并很快被fork逾千次。

安天CERT對(duì)10月4日上傳到github上的Mirai源碼進(jìn)行了相應(yīng)分析，梳理了其代碼結(jié)構(gòu)：

圖2-2Mirai源碼目錄結(jié)構(gòu)分析

泄露出的Mirai事件相關(guān)源碼主要包括兩部分：

(1) loader：加載器，其中存放了針對(duì)各個(gè)平臺(tái)編譯后的可執(zhí)行文件，用于加載Mirai的實(shí)際攻擊程序。

(2) Mirai：用于實(shí)施攻擊的程序，分為bot(被控制端，使用C語言編寫)和cnc(控制端，使用Go語言編寫)兩部分。

被控制端具有以下模塊：

類似的“開源”行為提供了極壞的示范性，會(huì)進(jìn)一步降低其他攻擊者危害IoT設(shè)備的成本。鑒于此，本文不對(duì)代碼進(jìn)行解讀。

3.安天對(duì)IoT僵尸網(wǎng)絡(luò)的監(jiān)測(cè)情況

安天的態(tài)勢(shì)感知與監(jiān)控預(yù)警系統(tǒng)可以對(duì)僵尸網(wǎng)絡(luò)的樣本傳輸、上線控制、攻擊指令進(jìn)行持續(xù)監(jiān)控。除了Mirai相關(guān)事件外，我們也可以看到IoT僵尸網(wǎng)絡(luò)對(duì)其他目標(biāo)的攻擊事件。

表：典型的IoT僵尸網(wǎng)絡(luò)攻擊事件

2014年之前使用Linux系統(tǒng)的IoT設(shè)備被植入惡意代碼主要通過掃描弱密碼。但在破殼漏洞(CVE-2014-6271)出現(xiàn)后，互聯(lián)網(wǎng)上也出現(xiàn)了大量利用該漏洞進(jìn)行掃描植入惡意代碼事件。根據(jù)當(dāng)時(shí)安天蜜罐系統(tǒng)捕獲的情況來看，破殼漏洞出現(xiàn)后，針對(duì)Linux主機(jī)入侵的事件呈現(xiàn)全面上升趨勢(shì)。安天發(fā)現(xiàn)的首例通過破殼漏洞實(shí)際感染的事件是在2014年9月份。而后安天CERT陸續(xù)發(fā)了多篇IoT設(shè)備上的惡意代碼分析報(bào)告如：《利用路由器傳播的DYREZA家族變種分析》、《黑客用HFS搭建服務(wù)器來傳播惡意代碼》，另有一篇《Trojan[DDOS]/Linux. Znaich分析報(bào)告》當(dāng)時(shí)并未公開，因此作為本報(bào)告附件。而其他少數(shù)具備獲取主機(jī)權(quán)限的漏洞也發(fā)現(xiàn)被攻擊者利用。

4 分析小組的一點(diǎn)思考

安天分析小組認(rèn)為，IoT僵尸網(wǎng)絡(luò)的快速蔓延來自如下因素的組合：

隨著小到智能家居、大到智慧城市的物聯(lián)網(wǎng)蓬勃發(fā)展，在線IoT設(shè)備數(shù)量大幅增加;

隨著作為主流桌面操作系統(tǒng)的Windows的內(nèi)存安全(如DEP、ASLR、SEHOP)等方面的能力不斷強(qiáng)化，依托遠(yuǎn)程開放端口擊穿Windows變得日趨困難，但對(duì)于普遍沒有經(jīng)過嚴(yán)格的安全設(shè)計(jì)的IoT設(shè)備的遠(yuǎn)程注入的成功率則高的多。

IoT設(shè)備自身多數(shù)未嵌入安全機(jī)制，同時(shí)其又多半不在傳統(tǒng)的IT網(wǎng)絡(luò)之內(nèi)，等于游離于安全感知能力之外，一旦遇到問題有的也不能有效響應(yīng)。

IoT設(shè)備往往更多24小時(shí)在線，其是比桌面Windows更“穩(wěn)定”的攻擊源。

兩年前，安天論述了“威脅將隨‘互聯(lián)網(wǎng)+’向縱深領(lǐng)域擴(kuò)散與泛化”的觀點(diǎn)，并使用泛化(Malware/Other)一詞來說明安全威脅向智能設(shè)備等新領(lǐng)域的演進(jìn)，而正如我們所擔(dān)心的那樣，安全威脅在智能汽車、智能家居、智能穿戴，大到智慧城市中已經(jīng)無所不在。

圖4 -1網(wǎng)絡(luò)安全威脅泛化與分布圖(引自安天2015年網(wǎng)絡(luò)威脅年報(bào))

正因?yàn)榇耍@次針對(duì)DynDNS服務(wù)的大規(guī)模DDoS事件中，安天更重視其中暴露的IoT安全問題。盡管DNS的確被很多人認(rèn)為是互聯(lián)網(wǎng)的阿喀琉斯之踵。但我們同樣不要忘記，互聯(lián)網(wǎng)是依托IP地址聯(lián)通的，而域名是為便于人記憶的原因而產(chǎn)生的。對(duì)于北美大型行業(yè)用戶來說，其更多廣泛采用VPN和IP地址鏈接，其基本系統(tǒng)運(yùn)轉(zhuǎn)并不依賴DNS的解析。也正因?yàn)榇?，如此大流量的DDoS，盡管給網(wǎng)民訪問網(wǎng)站帶來一段階段的不便，但其并不足以沖擊北美社會(huì)運(yùn)行和互聯(lián)網(wǎng)的根基。從這個(gè)意義上看，這個(gè)事件的熱度，更多來自媒體對(duì)公眾感覺的放大，而其實(shí)際影響則相對(duì)有限。而更危險(xiǎn)的行為是有針對(duì)性的、有放大效應(yīng)的針對(duì)重要節(jié)點(diǎn)的威脅行動(dòng)，特別是能夠產(chǎn)生實(shí)體空間后果的威脅。

毫無疑問DNS體系是信息基礎(chǔ)設(shè)施，但I(xiàn)oT僵尸網(wǎng)絡(luò)絕不僅僅是這起攻擊事件的道具。物聯(lián)網(wǎng)就是物物相連的互聯(lián)網(wǎng)，是未來信息社會(huì)重要基礎(chǔ)支撐環(huán)節(jié)之一。物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)基礎(chǔ)上延伸和擴(kuò)展的網(wǎng)絡(luò)，物聯(lián)網(wǎng)并不僅僅是網(wǎng)絡(luò)，它還可以利用感知技術(shù)、信息傳感等技術(shù)的嵌入式傳感器、設(shè)備及系統(tǒng)構(gòu)建成復(fù)雜的涉及實(shí)體社會(huì)空間的應(yīng)用，這些應(yīng)用所在的設(shè)備很多都是維系民生的重要節(jié)點(diǎn)的關(guān)鍵基礎(chǔ)設(shè)施設(shè)備，甚至包括關(guān)鍵工控設(shè)施的基礎(chǔ)傳感器。被入侵的這些設(shè)備本身具有更多的資源縱深價(jià)值，這比使用這些設(shè)備參與DDoS攻擊所帶來的危險(xiǎn)更為嚴(yán)重。其大面積的脆弱性存在，有著更為隱蔽、危害更大的社會(huì)安全風(fēng)險(xiǎn)和國(guó)家安全風(fēng)險(xiǎn)。只是這種風(fēng)險(xiǎn)，更不容易被感知到罷了。

把公眾影響力作為衡量網(wǎng)絡(luò)安全事件的主要度量衡，是大規(guī)模蠕蟲爆發(fā)時(shí)代的慣性。但在安全威脅日趨變得更加定向而隱蔽的時(shí)候，如果我們只關(guān)注容易看見的威脅，就必然會(huì)放過更危險(xiǎn)的敵人。克勞賽維茨說：“幾乎所有的戰(zhàn)局，間歇和平靜的時(shí)間遠(yuǎn)遠(yuǎn)多于行動(dòng)的時(shí)間。”對(duì)于安全工作者來說，還有什么比毫無先兆的平靜更令人恐懼的呢?

加強(qiáng)IoT設(shè)備的安全防護(hù)，提高攻擊入侵IoT設(shè)備的成本，以及加強(qiáng)IoT設(shè)備的安全威脅監(jiān)測(cè)預(yù)警，是安天已經(jīng)在進(jìn)行的工作，就像我們?cè)谶^去十年讓安天AVL SDK引擎運(yùn)行于數(shù)萬臺(tái)防火墻和數(shù)億部手機(jī)中一樣。