0
| 本文作者: 李勤 | 2018-06-05 14:25 |
這句話可能有點繞,一個利用物聯網設備的弱密碼來打造僵尸網絡的背后組織,在自家的數據庫上又用了弱密碼,結果被安全研究人員發現了……
這事說起來有點搞笑,卻是最近真實發生的事情。
我們來看看青天科技(NewSky Security)的投稿。
講 Owari 這個物聯網僵尸網絡,就得先說說 Mirai 這個物聯網僵尸網絡的老祖宗。Mirai 的數據庫是 MySQL 的,里面有三張表:用戶、歷史和白名單。好多 Mirai 的后代都開拓了新的方式,不過數據庫這塊還是用老祖宗的多,Owari 也是這么個好孩紙。
我們的某個蜜罐某天受到一個來自80(.)211(.)232(.)43這個IP的攻擊,命令是/bin/busybox OWARI post successful login。我們發現發過來的載荷代碼里面想搞一下post 下載。
出于黑客的直覺我們自然去看了看對方的IP,然后發現他們開著3306口,配置MySQL也不改個缺省端口,鄙視一下。
我們就跑去試了一下對方的密碼,結果發現:全世界人民都知道啊!
用戶名: root
密碼: root
既然門都沒關我們就進去瞅了瞅。
用戶表里面是一幫控制這個僵尸網絡的用戶名和密碼。有些應該是作者,還有一些是客戶,也叫黑箱用戶,就是交錢,然后打流量。除了密碼,還有能用多久,用多少僵尸,如果是-1就是全軍都能用,以及冷卻時間,就是打過以后要休息多久的意思。
在這個 Owari 的例子里面,我們找到一個用戶的時間是 3600 秒,也就是一小時,而且僵尸總量是-1,大客戶啊。注意這里用戶密碼也是明文的,再鄙視一次。
在歷史記錄表里面,我們找到了歷史攻擊IP記錄。好多IP地址都沒啥關聯,我們猜測,是因為他們在打對手的僵尸網絡,黑吃黑的意思。
白名單表居然是空的,說明這個僵尸網絡胃口很好逮誰打誰。
而且這個還不是孤例,另外一個IP(80.211.45.89)也是一樣的root:root登錄。
Owari 的代碼已經在暗網上面泄露了,所以很難找到原作者。不過我們還是找到了一位代號“疤臉”的僵尸網絡操控者,讓 TA 講解一下攻擊事件,冷卻時間和 Owari 網絡的使用價格。
“一般我每個月收費是 60 美元,提供 600 秒的服務。這個價位跟同行比不算高的。不過只有這種方法我才能保證僵尸設備的數量。我不能讓十來個用戶每個人都跑 1800 秒。我一般不讓設備冷卻。如果要冷卻時間,我一般會設置成最多 60 秒。一個用戶每月 60 每月不算多,不過每月有 10 個到 15 個用戶的話,我平時的網絡費用就夠用了” -疤臉
或許大家以為一旦拿到 MySQL 數據庫的改寫權限,就能刪除數據來把僵尸網絡給搞掉。可惜事情沒有這么簡單,因為僵尸網絡控制服務器 CnC 的 IP 地址很快就會失效(平均有效期是一周)。僵尸網絡的控制者知道自己的 IP 地址很快就會被標記為惡意,因為流量太差了。所以,他們經常會主動的改變IP來躲開監控。我們文中提到的兩個 IP 地址都已經下線了。
閱讀更多網絡安全信息?歡迎關注雷鋒網旗下微信公眾號“宅客頻道”(微信ID:letshome),重要的事情說三遍,雷鋒網、雷鋒網、雷鋒網。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
