2016年10月21日，美國東海岸地區(qū)遭受大面積網(wǎng)絡(luò)癱瘓，其原因為美國域名解析服務(wù)提供商Dyn公司當(dāng)天受到強(qiáng)力的DDoS攻擊所致，涉及到的網(wǎng)站包括twitter、paypal、github等，經(jīng)過調(diào)查發(fā)現(xiàn)這是一起黑客通過控制多臺物聯(lián)網(wǎng)設(shè)備發(fā)起的DDOS網(wǎng)絡(luò)攻擊行為，通過分析確認(rèn)攻擊流量來源于感染了Mirai僵尸網(wǎng)絡(luò)程序的設(shè)備，其中主要感染的設(shè)備有CCTV攝像頭、DVRs以及路由器。

其實早在2016年9月30日黑客Anna-senpai就公開發(fā)布了Mirai僵尸網(wǎng)絡(luò)程序源碼，其公布源碼的目的主要是為了掩人耳目，隱藏自己的蹤跡，同時也是為了嘲笑MalwareMustDie的安全分析人員，因為在2016年8月31日，MalwareMustDie的安全分析人員在其博客上公布了Mirai僵尸網(wǎng)絡(luò)程序的詳細(xì)逆向分析報告，正是這個舉動惹怒了黑客，于是就公布了Mirai的源代碼，好讓更多的黑客組織利用它來改裝成更多的基于Mirai的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。

事實上也正如他們所料，在隨后的三年多時間里，各種基于Mirai的變種樣本橫行，通過感染大量的物聯(lián)網(wǎng)設(shè)備發(fā)起DDOS網(wǎng)絡(luò)攻擊行為，在公布源碼之后三名黑客被抓，在美國阿拉斯加法庭上，三名美國年輕人向法庭供述了Mirai僵尸網(wǎng)絡(luò)工具的開發(fā)細(xì)節(jié)，同時他們通過建立僵尸網(wǎng)絡(luò)獲取100枚比特幣，可以說Mirai僵尸網(wǎng)絡(luò)攻擊拉開了基于物聯(lián)網(wǎng)設(shè)備發(fā)起DDOS攻擊的序幕，現(xiàn)在基于Mirai的各種變種樣本被植入到了全球各種不同的物聯(lián)網(wǎng)設(shè)備中，被用于隨時發(fā)起網(wǎng)絡(luò)攻擊行為，同時這些惡意程序還被改裝成各種竊取設(shè)備數(shù)據(jù)的后門程序等，未來隨著5G網(wǎng)絡(luò)的普及，物聯(lián)網(wǎng)安全一定會成為網(wǎng)絡(luò)安全保障重要的領(lǐng)域之一，同時基于物聯(lián)網(wǎng)的攻擊行為仍然在不斷地上演，高端的黑客組織早就盯上了全球的各種物聯(lián)網(wǎng)設(shè)備。

此前國外媒體報道，俄羅斯黑客組織Digital Revolution聲稱已入侵了俄羅斯國家情報機(jī)構(gòu)(FSB)承包商的系統(tǒng)，并發(fā)現(xiàn)了有關(guān)俄羅斯情報機(jī)構(gòu)旨在入侵全球物聯(lián)網(wǎng)(IoT)設(shè)備項目的詳細(xì)信息，該項目被命名為”Fronton”，由承包商為俄羅斯情報機(jī)構(gòu)FSB建造的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，根據(jù)文件的時間來分析，該項目已在2017年和2018年就已經(jīng)開始實施了，其實隨著Mirai攻擊事件被曝光，全球已經(jīng)有多個黑客組織就開始盯準(zhǔn)了物聯(lián)網(wǎng)設(shè)備，研究物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)項目，用于將來發(fā)起網(wǎng)絡(luò)攻擊行為，對一些國家的基礎(chǔ)網(wǎng)絡(luò)設(shè)施發(fā)動毀滅性的DDOS攻擊。

筆者從2015年年底開始研究物聯(lián)網(wǎng)安全，在此前的公司芯片安全實驗室，主要負(fù)責(zé)物聯(lián)網(wǎng)設(shè)備漏洞挖掘與研究，其中包含智能門鎖、智能攝像頭、路由器等IOT設(shè)備，同時一直在研究基于物聯(lián)網(wǎng)DDOS僵尸網(wǎng)絡(luò)項目，2016年正好Mirai安全事件被曝光，應(yīng)當(dāng)時公司領(lǐng)導(dǎo)的要求在第一時間對Mirai的源代碼和樣本進(jìn)行了詳細(xì)分析與研究，通過搭建相關(guān)的實驗環(huán)境，在實驗室里對Mirai攻擊進(jìn)行復(fù)現(xiàn)，模似黑客通過安全漏洞，入侵到各種不同的物聯(lián)網(wǎng)設(shè)備，下載相應(yīng)的惡意程序，控制設(shè)備對目標(biāo)發(fā)起DDOS攻擊，2016年隨著Mirai的源代碼被公布之后，出現(xiàn)了一批各種基于Mirai的變種樣本，包含：Haijime、Persirai、DvrHelper、BrickerBot、Okiru、Satori等，基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)變種越來越多，黑客組織不斷在更新和開發(fā)各種僵尸網(wǎng)絡(luò)惡意軟件，此前國外安全研究人員分享了一個僵尸網(wǎng)絡(luò)的各種家族的發(fā)展圖譜，如下所示：

圖片來源于網(wǎng)絡(luò)

筆者通過一個基于Mirai的僵尸網(wǎng)絡(luò)變種，揭密一下這些基于Mirai變種的僵尸網(wǎng)絡(luò)家族的攻擊流程。

拿到的黑客服務(wù)器上的樣本，如下所示：

(1) 黑客在黑客服務(wù)器上運行Loader，Loader程序?qū)χ付↖P地址的物聯(lián)網(wǎng)設(shè)備進(jìn)行掃描，同時使用scanListen對掃描的設(shè)備進(jìn)行監(jiān)聽，當(dāng)Loader與設(shè)備建立連接之后，通過不同的方式加載BOT程序到相應(yīng)物聯(lián)網(wǎng)設(shè)備上，如下所示：

(2) Loader程序爆破或利用漏洞攻擊成功后，會從黑客服務(wù)器上下載相應(yīng)的僵尸網(wǎng)絡(luò)病毒到被攻擊的設(shè)備上，一般可以使用wget/tftp等命令，如下所示：

(3) 如果wget/tftp命令不行，可以使用黑客自己開發(fā)的dlr程序，下載相應(yīng)的僵尸網(wǎng)絡(luò)BOT病毒程序到設(shè)備上運行，如下所示：

在設(shè)備上運行僵尸網(wǎng)絡(luò)惡意程序，與黑客C&C服務(wù)器進(jìn)行通信，執(zhí)行相應(yīng)的操作，下載的程序，這些程序都是通過交叉編譯而成，可以運行在各種不同的平臺上，如下所示：

黑客主要通過控制植入到物聯(lián)網(wǎng)設(shè)備上的BOT程序發(fā)起各種DDOS網(wǎng)絡(luò)攻擊行為，一般基于Mirai變種的物聯(lián)網(wǎng)DDOS攻擊基本都是這個流程，整個流程其實并不復(fù)雜，現(xiàn)在一些高端的黑客組織會利用不同的漏洞，包含一些未公開的0day漏洞進(jìn)行加載傳播，通過監(jiān)控這種基于Mirai變種的物聯(lián)網(wǎng)DDOS僵尸網(wǎng)絡(luò)變種現(xiàn)在真的是越來越多了。

隨著新基建的發(fā)展，未來5G網(wǎng)絡(luò)的普及，基于5G網(wǎng)絡(luò)的新型物聯(lián)網(wǎng)設(shè)備的應(yīng)用會越來越多，將來一定會有更多的黑客組織將目標(biāo)瞄準(zhǔn)各種新型的物聯(lián)網(wǎng)設(shè)備，這些新型的物聯(lián)網(wǎng)設(shè)備包含：手機(jī)、各種家電、車載設(shè)備、路由器、攝像頭、機(jī)器人、嵌入式設(shè)備、取款機(jī)、運動手表以及各種可穿戴設(shè)備、醫(yī)療設(shè)備、企業(yè)工控類設(shè)備、國家軍用武器設(shè)備等，通過對這些物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊，利用這些物聯(lián)網(wǎng)設(shè)備上存在的一些漏洞，在這些物聯(lián)網(wǎng)設(shè)備上植入相應(yīng)的惡意程序，控制物聯(lián)網(wǎng)設(shè)備發(fā)起DDOS攻擊行動或者直接利用漏洞盜取物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)，以及進(jìn)行APT攻擊行動等，現(xiàn)在我們討論下新基建下的物聯(lián)網(wǎng)安全問題，物聯(lián)網(wǎng)體系架構(gòu)平臺上常見的安全問題：

1. 手機(jī)客戶端APP：大多數(shù)物聯(lián)網(wǎng)設(shè)備都可以通過手機(jī)客戶端APP控制

APP應(yīng)用OWASP TOP 10安全漏洞、APP代碼未保護(hù)，被逆向分析，黑客通過對智能設(shè)備的APP控制程序進(jìn)行逆向分析，尋找相關(guān)漏洞，從而達(dá)到控制智能設(shè)備的目的

2. 云平臺：云端WEB應(yīng)用或API托管用于控制管理和收集物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)

云端WEB應(yīng)用OWASP TOP 10安全漏洞、云服務(wù)器DDOS攻擊、數(shù)據(jù)庫安全漏洞，黑客通過黑盒、白盒測試，對WEB應(yīng)用平臺進(jìn)行安全測試，代碼審計尋找云平臺應(yīng)用的安全漏洞(弱口令、SQL注入、訪問控制權(quán)限繞過、命令可執(zhí)行、敏感數(shù)據(jù)信息泄露、XSS、SSRF、CSRF等WEB漏洞)，黑客通過尋找這些漏洞對云平臺上的物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊，可遠(yuǎn)程登錄WEB管理平臺對物聯(lián)網(wǎng)設(shè)備進(jìn)行控制，還可以拿到云平臺上物聯(lián)網(wǎng)設(shè)備上傳的重要數(shù)據(jù)，同時云服務(wù)器也易受到黑客的攻擊，對云服務(wù)器平臺發(fā)起DDOS攻擊，導(dǎo)致物聯(lián)網(wǎng)設(shè)備拒絕服務(wù)無法使用

3. 終端設(shè)備：各種暴露的終端設(shè)備

用戶安全意識不強(qiáng)，使用設(shè)備默認(rèn)密碼、固件代碼未被保護(hù)，易被逆向分析、固件升級流程存在問題，黑客通過對終端設(shè)備固件進(jìn)行逆向分析，尋找相應(yīng)的漏洞(默認(rèn)密碼、加密密鑰及算法、緩沖區(qū)溢出、堆棧溢出等漏洞)，從而拿到終端設(shè)備的控制權(quán)限，植入相應(yīng)的惡意程序，發(fā)起網(wǎng)絡(luò)攻擊行為

4. 通訊協(xié)議：RFID、藍(lán)牙、GPS、NB-IOT、NFC、Zigbee、WIFI、無線電射頻信息

協(xié)議本身存在漏洞、協(xié)議重放攻擊、協(xié)議欺騙攻擊等，黑客通過破解物聯(lián)網(wǎng)設(shè)備的通迅協(xié)議遠(yuǎn)程控制或欺騙物聯(lián)網(wǎng)設(shè)備，相關(guān)的攻擊方法，比如：WIFI中間人攻擊、RFID數(shù)據(jù)篡改攻擊、WIFI密碼爆破攻擊、藍(lán)牙協(xié)議的嗅探重放攻擊、GPS信號欺騙攻擊、無線電射頻信號偽造重放攻擊等

現(xiàn)在已經(jīng)有一些新型的網(wǎng)絡(luò)安全公司或一些大公司的一些安全團(tuán)隊在從事物聯(lián)網(wǎng)這塊的安全及產(chǎn)品研究，提供物聯(lián)網(wǎng)安全服務(wù)等，物聯(lián)網(wǎng)安全未來會成為網(wǎng)絡(luò)安全服務(wù)的一個重要分支，隨著5G網(wǎng)絡(luò)的發(fā)展，新基建平臺的建設(shè)，將來會有更多的傳統(tǒng)企業(yè)會向互聯(lián)網(wǎng)，云平臺方向轉(zhuǎn)變，尋求更好的發(fā)展，通過互聯(lián)網(wǎng)提升企業(yè)的效率，然而隨著各種平臺越來越多，黑客攻擊的目標(biāo)也會變的越來越多，一般的黑客組織往往會選擇企業(yè)保護(hù)最薄弱的地方下手，發(fā)起網(wǎng)絡(luò)攻擊，這樣可以減少攻擊的成本，最大限度的獲利，物聯(lián)網(wǎng)設(shè)備越普及，同樣帶來的安全問題也會越來越多，需要引起重視。

筆者一直關(guān)注跟蹤全球各種新型的惡意軟件以及全球黑客組織攻擊行動、攻擊趨勢等，現(xiàn)在基于各種不同平臺的惡意軟件太多了，而且這些黑客組織的行動非常之快，只要有一個新的漏洞出現(xiàn)，馬上就會被利用集成到新的惡意軟件當(dāng)中，惡意軟件可以說是無處不在，基于Mirai的各種變種也是越來越多了，不斷有新的變種被發(fā)現(xiàn)，這些新的變種利用各種不同的漏洞進(jìn)行傳播，分享筆者此前研究基于Mirai變種的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的一些資料，有興趣的自行關(guān)注獲取，也可以與筆者進(jìn)行交流，Github地址：https://github.com/pandazheng/MiraiSecurity