概述
道高一尺魔高一丈,进化是恶意软件的一个组成部分,因为攻击者往往需要比白帽黑客提前一步来逃避检测。
虽然IoT恶意软件是从基于弱密码的简单攻击开始,比如说Mirai,但是随着恶意软件技术的不断发展,目前已可以采取更多战略方法,如跨平台漏洞攻击大量设备。
默认的密码攻击已经是开(白)源(菜)技术了,随着近期对物联网威胁的研究发现,许多政府企业和消费者已经开始使用更复杂的密码,从而迫使攻击者采取不同的手段进行攻击。
IoT威胁空间最近出现一个名为IoTroop的新僵尸网络,它使用漏洞而不是弱密码来入侵设备。划重点,敲黑板。
IoTroop攻击的手段利用了CVE-2017-8225,这是一个许多网络摄像头制造商使用的定制GoAhead嵌入式服务器相关的漏洞。
在这个博客中,我们将讨论“MDLC”,这个高大上的词儿意思是:恶意软件开发生命周期,以及跟踪POC如何被共享信息和资源的各类攻击者武器化和使用。
与Shodan集成的攻击脚本
我们观察到一个攻击者声称他具有与CVE-2017-8225攻击相关的脚本以及该脚本的截图。暗网中黑客论坛风云际会既视感有没有。
攻击者在论坛中提供了两个脚本,第一个脚本使用Shodan查询来dump所有受CVE-2017-8225漏洞影响设备的IP地址,这使用了一个GoAhead漏洞相关 的已知Shodan缓存结果。
现在一旦收集到所有易受攻击的IP,第二个脚本将使用CVE-2017-8225来dump这些设备的凭据。这种组合将帮助业余黑客可以控制各种IoT设备,而不用担心两个重要问题:目标在哪里?怎么攻进去?
Netcat的反弹Shell
当一个攻击者询问这次攻击形成的僵尸网络的状态时,作者回答说他需要一个VPS,他可以通过VPS来使用netcat。 一旦这样做,很容易形成僵尸网络。
在我们解剖的IoTroop感染的设备中,我们确实观察到反向shell的netcat命令的存在。这也与Check Point的发现一致,所以我们猜测这个攻击者和IoTroop作者的想法是一致的。
攻击者合作
但脚本中存在一个小问题。为了使设置正常工作,攻击者需要访问Shodan Premium这个物联网搜索引擎大杀器。 我们注意到这个脚本的作者跪求Shodan的登录信息,并声称如果他可以访问Shodan Premium,他将为任何目的建立僵尸网络。
不久之后,我们观察到一名用户同意与攻击者分享他的Shodan密码,这将有助于用户形成僵尸网络。
在这里,这个话题沉默了,没有问题,没有更新。他俩是不是私聊我们不知道,我们只知道,风暴之前的大海,安静的可怕。
CVE-2017-8225漏洞的利用代码已经由安全研究人员发布。 然而武器化版本的易用性和与Shodan的集成使得业余黑客更容易获得对大规模设备的控制。这才是要点好不好?所以后来有人在论坛打脸,说他只是复制原始漏洞利用报告中的大部分代码的时候,攻击者也大咧咧的认了。
我们还观察到,有一部分攻击者已经在使用这些脚本向现有的僵尸网络添加更多的物联网设备。这个世界永远不缺起哄架秧子的,黑客的世界也不例外。
结论
虽然找到与攻击有关的确切组合挺爽的,但是物联网安全(或任何形式的网络安全)的更大的问题是,如果有一种已知的方法来成功攻击设备,设备被攻击只是一个时间问题。
自从有了CVE-2017-8225漏洞,易受攻击的大量设备在Shodan中是裸奔的,只能等待受到攻击,目前没有任何安全或补丁,他们现在很容易成为IoTroop僵尸网络的一部分。毕竟老话说的好,不怕黑客黑你,就怕黑客惦记。
NewSky Security IoT Halo主动提供CVE-2017-8225攻击尝试的检测。技术咨询:info@newskysecurity.com
NewSky Security 首席研究员Ankit Anubhav
原文请参考如下链接:
1:
2:
3:
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
