針對您企業(yè)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

諸如“ IoT僵尸網(wǎng)絡(luò)針對企業(yè)設(shè)備的目標”之類的標題聽起來非常嚇人，但事實是，這些僵尸網(wǎng)絡(luò)中有許多是孩子們玩耍時在網(wǎng)上發(fā)現(xiàn)的隨機漏洞利用的結(jié)果，而隨著作者感到無聊或轉(zhuǎn)向其他項目。

IoT僵尸網(wǎng)絡(luò)開普勒(Kepler)是最典型的例子，該設(shè)備因感染標牌電視和演示系統(tǒng)(企業(yè)網(wǎng)絡(luò)中的兩種設(shè)備)而在上個月發(fā)布了新聞。

初讀時，有關(guān)開普勒的任何報告都似乎是該僵尸網(wǎng)絡(luò)作者的蓄意目標是立足于公司網(wǎng)絡(luò)，以便以后可以部署更強大的惡意軟件。

開普勒作家：我們只是在開心!

但是，事實并非如此。在對NewSky Security安全研究員Ankit Anubhav的錄音采訪中，并在Soundcloud上發(fā)表，該僵尸網(wǎng)絡(luò)的兩位作者承認，他們是出于娛樂目的構(gòu)建了該僵尸網(wǎng)絡(luò)，并隨機添加了來自ExploitDB網(wǎng)站的漏洞利用程序。

兩人說：“我們只是幾個朋友，很開心。”在承認這實際上是他們?nèi)ツ瓿闪⒌牡诙€僵尸網(wǎng)絡(luò)之后，他們說。

盡管開普勒發(fā)表了一些令人震驚的頭條新聞，但兩人并沒有認真對待僵尸網(wǎng)絡(luò)上的工作，承認他們甚至沒有理會被僵尸網(wǎng)絡(luò)感染的設(shè)備數(shù)量。

此外，僵尸網(wǎng)絡(luò)沒有使用Palo Alto Networks最初報告的27個漏洞，但是開普勒作者之一Nipsu認為，僵尸網(wǎng)絡(luò)沒有使用27個漏洞，所有這些漏洞都是隨機選擇的。

根據(jù)采訪，這兩個黑客(其中一個是未成年人)只是在測試隨機漏洞利用，想看看哪個黑客聚集了更多的機器人。

兩人表示，他們目前尚無計劃將開普勒僵尸網(wǎng)絡(luò)出售給其他網(wǎng)絡(luò)犯罪團伙或出租以進行DDoS攻擊-這是一種常見的做法，也是許多物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)作者的獲利來源。

開普勒是趨勢，而不是邊緣情況

這些啟示不僅是物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)場景中孤立的邊緣情況。許多僵尸網(wǎng)絡(luò)作家都只是孩子采取他們的第一個步驟，程序和網(wǎng)絡(luò)安全的世界，戰(zhàn)功玩耍，意識到他們可能是在法律問題，并就移動到其他事業(yè)--or遭逮捕[前1，2 ]。

該20大IoT Blackhat Hackers列表中列出的大部分IoT僵尸網(wǎng)絡(luò)運營商現(xiàn)在已從正在運行的IoT僵尸網(wǎng)絡(luò)發(fā)展而來。

其中之一Switch(在列表中排名第15)提供了他對當(dāng)前IoT僵尸網(wǎng)絡(luò)場景的見解。當(dāng)被問到將ExploitDB中獲取的代碼集成到僵尸網(wǎng)絡(luò)中有多容易時，Switch是許多有關(guān)構(gòu)建IoT惡意軟件的YouTube教程的作者，他提供了以下答案。

“如果您使用的是自動掃描儀，例如正在尋找華為，Realtek，ThinkPHP等的自動掃描儀，這非常容易，” Switch說。“只有幾行代碼。由于它只需要幾分鐘，因此我之前已經(jīng)做過有關(guān)如何執(zhí)行此操作的教程。”

他說：“我以前見過有人(針對易受攻擊的設(shè)備)將掃描儀寫到源中，據(jù)我所知，它主要是復(fù)制和粘貼。”

安全研究人員Anubhav一整天都在研究IoT僵尸網(wǎng)絡(luò)，他也分享Switch的觀點。

Anubhav說：“大多數(shù)物聯(lián)網(wǎng)漏洞利用代碼都是從ExploitDB大量借用的。”

“在許多情況下，這些漏洞無法感染很多設(shè)備，因此，攻擊者正在嘗試盡可能多的漏洞，以進一步評估哪個漏洞將獲得最大的收益。”

這是MIRAI / GAFGYT派對

但是，除了開普勒之外，趨勢科技本周記錄的另一個例子是物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的另一個近期例子，它看起來并不危險。

這個僵尸網(wǎng)絡(luò)沒有特別的名稱，它在Bashlite(Gafgyt)IoT惡意軟件的變體上運行，該變種被用作骨架并在頂部帶有多個ExploitDB漏洞進行了自定義-在這種情況下，該漏洞針對Belkin WeMo設(shè)備。

如今，該僵尸網(wǎng)絡(luò)的解剖結(jié)構(gòu)代表了整個IoT惡意軟件場景。僵尸網(wǎng)絡(luò)運營商使用過去幾年來曾在網(wǎng)上泄漏的IoT惡意軟件的源代碼，作為傳遞從ExploitDB復(fù)制的隨機攻擊的線框。

在大多數(shù)情況下，這些僵尸網(wǎng)絡(luò)是建立在Bashlite(Gafgyt)或Mirai IoT惡意軟件菌株之上的，而且真正的惡意軟件編碼者很少會來創(chuàng)新和創(chuàng)建新的惡意軟件菌株-例如Wicked或Janit0r(BrickerBot作者)。