笔者从2015年年底开始研究物联网安全,在此前的公司芯片安全实验室,主要负责物联网设备漏洞挖掘与研究,其中包含智能门锁、智能摄像头、路由器等IOT设备,同时一直在研究基于物联网DDOS僵尸网络项目,2016年正好Mirai安全事件被曝光,应当时公司领导的要求在第一时间对Mirai的源代码和样本进行了详细分析与研究,通过搭建相关的实验环境,在实验室里对Mirai攻击进行复现,模似黑客通过安全漏洞,入侵到各种不同的物联网设备,下载相应的恶意程序,控制设备对目标发起DDOS攻击,2016年随着Mirai的源代码被公布之后,出现了一批各种基于Mirai的变种样本,包含:Haijime、Persirai、DvrHelper、BrickerBot、Okiru、Satori等,基于物联网的僵尸网络变种越来越多,黑客组织不断在更新和开发各种僵尸网络恶意软件,此前国外安全研究人员分享了一个僵尸网络的各种家族的发展图谱,如下所示:
图片来源于网络
笔者通过一个基于Mirai的僵尸网络变种,揭密一下这些基于Mirai变种的僵尸网络家族的攻击流程。
拿到的黑客服务器上的样本,如下所示:
(1) 黑客在黑客服务器上运行Loader,Loader程序对指定IP地址的物联网设备进行扫描,同时使用scanListen对扫描的设备进行监听,当Loader与设备建立连接之后,通过不同的方式加载BOT程序到相应物联网设备上,如下所示:
(2) Loader程序爆破或利用漏洞攻击成功后,会从黑客服务器上下载相应的僵尸网络病毒到被攻击的设备上,一般可以使用wget/tftp等命令,如下所示:
(3) 如果wget/tftp命令不行,可以使用黑客自己开发的dlr程序,下载相应的僵尸网络BOT病毒程序到设备上运行,如下所示:
在设备上运行僵尸网络恶意程序,与黑客C&C服务器进行通信,执行相应的操作,下载的程序,这些程序都是通过交叉编译而成,可以运行在各种不同的平台上,如下所示:
黑客主要通过控制植入到物联网设备上的BOT程序发起各种DDOS网络攻击行为,一般基于Mirai变种的物联网DDOS攻击基本都是这个流程,整个流程其实并不复杂,现在一些高端的黑客组织会利用不同的漏洞,包含一些未公开的0day漏洞进行加载传播,通过监控这种基于Mirai变种的物联网DDOS僵尸网络变种现在真的是越来越多了。
