诸如“ IoT僵尸网络针对企业设备的目标”之类的标题听起来非常吓人,但事实是,这些僵尸网络中有许多是孩子们玩耍时在网上发现的随机漏洞利用的结果,而随着作者感到无聊或转向其他项目。
IoT僵尸网络开普勒(Kepler)是最典型的例子,该设备因感染标牌电视和演示系统(企业网络中的两种设备)而在上个月发布了新闻。
初读时,有关开普勒的任何报告都似乎是该僵尸网络作者的蓄意目标是立足于公司网络,以便以后可以部署更强大的恶意软件。
开普勒作家:我们只是在开心!
但是,事实并非如此。在对NewSky Security安全研究员Ankit Anubhav的录音采访中,并在Soundcloud上发表,该僵尸网络的两位作者承认,他们是出于娱乐目的构建了该僵尸网络,并随机添加了来自ExploitDB网站的漏洞利用程序。
两人说:“我们只是几个朋友,很开心。”在承认这实际上是他们去年成立的第二个僵尸网络之后,他们说。
尽管开普勒发表了一些令人震惊的头条新闻,但两人并没有认真对待僵尸网络上的工作,承认他们甚至没有理会被僵尸网络感染的设备数量。
此外,僵尸网络没有使用Palo Alto Networks最初报告的27个漏洞,但是开普勒作者之一Nipsu认为,僵尸网络没有使用27个漏洞,所有这些漏洞都是随机选择的。
根据采访,这两个黑客(其中一个是未成年人)只是在测试随机漏洞利用,想看看哪个黑客聚集了更多的机器人。
两人表示,他们目前尚无计划将开普勒僵尸网络出售给其他网络犯罪团伙或出租以进行DDoS攻击-这是一种常见的做法,也是许多物联网僵尸网络作者的获利来源。
开普勒是趋势,而不是边缘情况
这些启示不仅是物联网僵尸网络场景中孤立的边缘情况。许多僵尸网络作家都只是孩子采取他们的第一个步骤,程序和网络安全的世界,战功玩耍,意识到他们可能是在法律问题,并就移动到其他事业--or遭逮捕[前1,2 ]。
该20大IoT Blackhat Hackers列表中列出的大部分IoT僵尸网络运营商现在已从正在运行的IoT僵尸网络发展而来。
其中之一Switch(在列表中排名第15)提供了他对当前IoT僵尸网络场景的见解。当被问到将ExploitDB中获取的代码集成到僵尸网络中有多容易时,Switch是许多有关构建IoT恶意软件的YouTube教程的作者,他提供了以下答案。
“如果您使用的是自动扫描仪,例如正在寻找华为,Realtek,ThinkPHP等的自动扫描仪,这非常容易,” Switch说。“只有几行代码。由于它只需要几分钟,因此我之前已经做过有关如何执行此操作的教程。”
他说:“我以前见过有人(针对易受攻击的设备)将扫描仪写到源中,据我所知,它主要是复制和粘贴。”
安全研究人员Anubhav一整天都在研究IoT僵尸网络,他也分享Switch的观点。
Anubhav说:“大多数物联网漏洞利用代码都是从ExploitDB大量借用的。”
“在许多情况下,这些漏洞无法感染很多设备,因此,攻击者正在尝试尽可能多的漏洞,以进一步评估哪个漏洞将获得最大的收益。”
这是MIRAI / GAFGYT派对
但是,除了开普勒之外,趋势科技本周记录的另一个例子是物联网僵尸网络的另一个近期例子,它看起来并不危险。
这个僵尸网络没有特别的名称,它在Bashlite(Gafgyt)IoT恶意软件的变体上运行,该变种被用作骨架并在顶部带有多个ExploitDB漏洞进行了自定义-在这种情况下,该漏洞针对Belkin WeMo设备。
如今,该僵尸网络的解剖结构代表了整个IoT恶意软件场景。僵尸网络运营商使用过去几年来曾在网上泄漏的IoT恶意软件的源代码,作为传递从ExploitDB复制的随机攻击的线框。
在大多数情况下,这些僵尸网络是建立在Bashlite(Gafgyt)或Mirai IoT恶意软件菌株之上的,而且真正的恶意软件编码者很少会来创新和创建新的恶意软件菌株-例如Wicked或Janit0r(BrickerBot作者)。