在Mirai僵尸網(wǎng)絡(luò)攻擊造成美國東海岸大面積斷網(wǎng)事件之后,國內(nèi)也出現(xiàn)了控制大量IoT設(shè)備的僵尸網(wǎng)絡(luò)。近日360網(wǎng)絡(luò)安全研究院發(fā)布報告,率先披露了一個名為http81的新型IoT僵尸網(wǎng)絡(luò)。
監(jiān)測數(shù)據(jù)顯示,http81僵尸網(wǎng)絡(luò)在中國已經(jīng)感染控制了超過5萬臺網(wǎng)絡(luò)攝像頭。如果按照每個活躍IP擁有10Mbps上行帶寬測算,http81僵尸網(wǎng)絡(luò)可能擁有高達500Gbps的DDoS攻擊能力,足以對國內(nèi)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施產(chǎn)生重大威脅。
Mirai之后,http81瞄上攝像頭
今年3月,韓國安全研究人員Pierre Kim發(fā)布了一個關(guān)于GoAhead 以及其他OEM攝像頭的脆弱性分析報告,涉及多家廠商超過1250個不同型號的設(shè)備,估算全球潛在涉及的攝像頭設(shè)備超過18萬個。
利用Pierre Kim披露的漏洞,http81僵尸網(wǎng)絡(luò)的幕后操控者遠程入侵了大量沒有及時修復(fù)漏洞的網(wǎng)絡(luò)攝像頭設(shè)備,在這些攝像頭中植入惡意代碼,只要發(fā)出指令就可以隨時向任何目標實施DDoS攻擊。由于網(wǎng)絡(luò)攝像頭屬于長期在線的設(shè)備,普遍擁有比較高的帶寬,相比由電腦組成的僵尸網(wǎng)絡(luò)具備更強的殺傷力。
360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn),http81僵尸網(wǎng)絡(luò)借鑒了Mirai的端口嗅探手法和部分基礎(chǔ)代碼,但是對比僵尸網(wǎng)絡(luò)的關(guān)鍵特性,http81在傳播、C2通信協(xié)議、攻擊向量等方面與Mirai完全不同,屬于新的僵尸網(wǎng)絡(luò)家族。
暗流涌動,http81僵尸網(wǎng)絡(luò)急劇膨脹
對普通公眾來說,Mirai是在美國斷網(wǎng)事件中“一戰(zhàn)成名”。但在此前數(shù)個月,Mirai就已經(jīng)在大規(guī)模掃描存在漏洞的物聯(lián)網(wǎng)設(shè)備,構(gòu)建遍布全球的僵尸網(wǎng)絡(luò)。統(tǒng)計顯示,Mirai僵尸網(wǎng)絡(luò)已累計感染超過200萬臺攝像機等IoT設(shè)備。
http81僵尸網(wǎng)絡(luò)也正在急劇擴張。360網(wǎng)絡(luò)安全研究院研究員李豐沛介紹說,360全球網(wǎng)絡(luò)掃描實時監(jiān)控系統(tǒng)早在4月15日發(fā)現(xiàn)http81僵尸網(wǎng)絡(luò)活躍度異常增加,當日掃描事件數(shù)量比平時增長4倍到7倍,獨立掃描IP來源增長幅度達到40倍到60倍。4月22日,http81活躍度更是達到高峰,掃描來源的IP地址超過 57,000個。與普通僵尸網(wǎng)絡(luò)100到1000個IP節(jié)點的規(guī)模相比,http81已經(jīng)成為一個巨型僵尸網(wǎng)絡(luò)。
監(jiān)測數(shù)據(jù)顯示,http81僵尸網(wǎng)絡(luò)主要分布在國內(nèi),尤其是北京、河南、山東、江蘇、廣州等地區(qū),每日活躍的設(shè)備數(shù)量一般在2700到9500個之間。這意味著http81一旦展開DDoS攻擊,國內(nèi)互聯(lián)網(wǎng)很可能成為重災(zāi)區(qū),其他國家和地區(qū)也不能完全排除受感染或受攻擊的可能性。為此360網(wǎng)絡(luò)安全研究院發(fā)布報告披露了http81僵尸網(wǎng)絡(luò),向全球網(wǎng)絡(luò)安全社區(qū)發(fā)出安全警示。
當http81僵尸網(wǎng)絡(luò)被公開曝光后,開始變得更加低調(diào)和隱蔽。據(jù)360網(wǎng)絡(luò)安全研究院追蹤分析,http81控制主機域名的IP地址已改為私網(wǎng)IP地址,其掃描行為也明顯下降,暫時停止了大規(guī)模掃描。
但是由于國內(nèi)的網(wǎng)絡(luò)攝像頭等設(shè)備大多缺乏安全更新維護,只要http81的惡意代碼沒有被攝像頭運維人員清除,攻擊者隨時可以控制主機重新上線。如果任由http81僵尸網(wǎng)絡(luò)掃描感染更多設(shè)備,其防御難度也會越來越高。360網(wǎng)絡(luò)研究院正在持續(xù)監(jiān)控該僵尸網(wǎng)絡(luò),一旦發(fā)現(xiàn)攻擊者重新上線,360將協(xié)同相關(guān)部門及時采取預(yù)防應(yīng)對措施。
附:http81僵尸網(wǎng)絡(luò)報告全文
http://blog.netlab.360.com/a-new-threat-an-iot-botnet-scanning-internet-on-port-81-ch/
http://blog.netlab.360.com/the_difference_between_http81_botnet_and_mirai/
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 后人工智能時代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設(shè)計思維的融合
- IDC:三季度全球以太網(wǎng)交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風險加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風險投資超過26億美元
- 調(diào)查報告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。