去年,全球首次因大规模物联网设备僵尸网络的攻击,导致美国东海岸断网,严重影响当地人民生活秩序和社会稳定。最近,美国阿拉斯加州安克雷奇市的FBI官方推特公布案件告破,三名嫌疑人承认开发了造成去年10月"美国断网事件"的Mirai僵尸网络工具,并向360、AT&T、Dyn、Paterva、PayPal和ShadowServer六家协助FBI破获Mirai攻击事件的机构公开致谢。
史上最强僵尸网络:Mirai险些搞砸美国大选!
Mirai事件最初要追溯到2016年8月初,距离大选还剩约100天的美国,竞选活动正如火如荼地进行,最新民调显示两党支持率旗鼓相当,虽然两位总统时不时被黑客曝出一些黑料,但谁也想不到,一场大规模的网络攻击正在酝酿中。
几乎是同一时间,8月1日的北京,360网络安全研究院的蜜罐系统首次监测到一个僵尸网络活动的苗头;一个月后的9月6日,360感知到了这个新发现的僵尸网络正在快速蔓延,360持续跟踪、分析了这个僵尸网络的攻击特征并于10月16日发布了研究报告紧急向安全社区发布预警,而这就是臭名昭著的Mirai僵尸网络第一次出现在中国大众的视野中。
2016 年 10月 21日,Mirai僵尸网络发起对美国互联网域名解析服务商DYN的DDoS攻击,而DYN给许多美国著名网站提供域名解析服务,DYN服务器被攻击导致Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务瘫痪。这次灾难被称为"美国东海岸断网"事件,仅DYN一家公司的直接损失就超过了1.1亿美元,事件的整体损失不可估量。
从360的监测数据看,这次黑客使用的僵尸网络,已经控制了全球89万台摄像头、路由器,它的规模扩张仍然保持高速且稳定增长,越来越多的物联网设备被感染。中国境内也有超过9万台正在使用的智能设备被控制。在被控制的设备中,很大一部分是由三家中国厂商生产的。
Mirai带来的网络空间攻击力量,引起了整个美国社会的强烈关注。美国白宫发言人 Josh Earnest 在攻击发生当天就对此事给予回应表示关切。而这时,距离美国大选不足半月,美国大选顾问成员 Barbara Simons表示,这样的攻击足以影响美国的海外居民和驻军人员参与美国大选的电子投票过程,如果任由Mirai继续蔓延,极有可能毁掉整场大选。
国际"英雄联盟"共抗Mirai 360成东半球唯一成员
攻击发生后,360参与了一个由FBI发起的针对Mirai僵尸网络的"英雄联盟"跨国联合行动小组,一起参与了这次事件的追踪、分析、溯源和响应处置工作。联合行动小组的参与者包括多家全球多家顶级网络供应商和顶级安全公司,而360是东半球唯一参与处置该事件的公司。
360依托强大的安全大数据资源,率先发现并持续追踪溯源了这个由摄像头等智能设备组成的僵尸网络。和安全社区其他成员一起, 奠定了开篇所讲的黑客伏法的基础。
360 全球唯一发现Mirai僵尸网络的主控漏洞,从而能够控制主控, 并与全球最大的 ISP之一做了实际攻击能力测试, 结果表明8万个僵尸就能发起超过500 Gbps 的DDoS 攻击,89万个僵尸能产生的攻击流量足以打垮全球任何一个电信运营商,如果这些僵尸网络发起总攻将导致整个互联网骨干网络瘫痪。
元凶服法难阻Mirai遗祸无穷 对抗僵尸网络仍需多国合作
到今天,三名嫌疑人承认建立了僵尸网络攫取经济利益,从中获得100枚比特币,目前价值约170万美元。
21岁的Paras Jha,接受了多项指控,包括编写Mirai源代码及运营僵尸网络,并以此发送攻击和在线欺诈。他的同伙 Josiah White(20岁)和 Dalton Norman(21岁)则承认同谋。
三个人的初始动机只是攻击在线游戏《我的世界》(Minecraft)的服务器并趁机牟利。然而,在万物互联的大环境中,越来越多网络摄像头、监控摄像头之类的联网设备成为潜在的攻击目标,星星之火转眼就形成了燎原之势。
三人面临最高5年的刑期和一笔至少25万美元的罚款。据外媒报道,由于涉案影响重大,整起案件审判持续了仅1年,这在网络空间犯罪领域实属速度惊人。
事情看似告一段落,然而,由于Mirai 僵尸网络的源代码已经开源,其变种繁多,不乏有后来者表现超越始作俑者。360在过去的一年里,也在持续跟踪分析 Mirai 僵尸网络及其后来者。360累计观测到超过200万独立IP地址感染Mirai僵尸网络,发布了16篇相关中英文分析报告。就在前几天,360刚刚发布了其变种 Satori 最新的分析报告。未来抗击Mirai 的工作还会继续。
如今,僵尸网络也是全球面临的共同问题,其通过掌握着的巨型僵尸网络可以在任何时候对任何目标发动DDoS攻击。僵尸的感染对象已经从服务器、PC、智能手机,扩展向摄像头、路由器、家居安防系统、智能电视、智能穿戴设备,甚至是婴儿监视器,任何互联网连接的设备都可能成为一个潜在的目标。而一般用户是很难注意到被感染的状况的。
习近平总书记曾多次强调,网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。各国是网络空间的命运共同体,网络空间的安全需要各国多边参与,多方参与,共同维护。"美国断网"案件的预警与侦破过程中有跨越多个国家的多家互联网公司、安全公司、政府执法机构的共同参与贡献,完美诠释了总书记"构建人类命运共同体"的论断。
相关阅读
Mirai变种Satori正在 37215 和 52879 端口上进行类蠕虫式传播
黑客技术官网地址:http://www.hackdig.com/
数据泄露事件的影响,轻者可以导致公司遭遇羞辱和品牌信誉降级,重者则导致重大经济损失、事业陷入低谷,甚至直接关门歇业。
最严重的事件,无可避免地源于特权凭证(通常是那些用于管理的登录凭证)落入坏人之手。任何思维正常的人,都不会将通往自己领地的钥匙交到坏人手上。但这些坏人非常卑鄙。他们会通过社会工程、网络钓鱼或暴力破解,来染指相对无害的用户凭证,然后用提权技术和横向移动来获取超级用户权限,之后会发什么,就难说了。
身份及访问管理(IAM)的基石之一,是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。PAM则是将这些原则和操作,简单应用到"超级用户"账户和管理凭证上。此类凭证的例子包括:Unix和Linux系统的root账户、活动目录(AD)的Admin账户、业务关键数据库的DBA账户,以及IT运营所需的大量服务账户。
普遍认为,PAM可能是减小数据泄露风险和最小化数据泄露影响的顶级操作。PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。但不幸的是,现在明显大多数企业的PAM项目并没有跟上不断发展的威胁。
One Identity 最近对900多位IT安全人士做了调查,发现了关于该重要防护操作的一些令人警醒的数据。太多公司使用的是很原始的工具和实践来保护并管理特权账户和管理员访问,尤其是:
- 18%的受访者承认使用纸质日志来管理特权凭证
- 36%用电子表格进行管理
- 67%依赖2种或2种以上的工具(包括纸质和电子表格)来支持他们的PAM项目
尽管很多公司正在尝试管理特权账户(该尝试用的只是相当有限的工具),真正监视这些"超级用户"权限所执行活动的,却相对较少:
- 57%的受访者承认仅监视了部分或根本没有监视其特权账户;
- 21%承认自身并没有监视特权账户行为的能力;
- 31%报告称发现不了以管理凭证执行活动的个人,换句话说,近1/3的人实现不了强制性的个人责任,而这对防护和风险缓解又是如此重要。
如果这些数据还不够吓人,还有数据表明太多太多组织(商业、政府和全球各类组织),甚至连最基本的常识性操作都没能做到:
- 88%的人承认在管理特权口令上有困难;
- 86%的人在管理员口令用过后都不修改――为前文提及的提权和横向移动行为大开方便之门;
- 40%直接留用系统、服务器和基础设施的默认管理员口令,彻底消除了坏人费劲获取权限的必要。
很多简单的常识性操作,比如管理员口令每次用过后都做修改、不留下默认口令等,就可以解决很多问题。不过,对技术和实践进行升级,以清除人为错误或因密码管理实践繁琐而产生的懈怠,也可以添加一层保障和个人责任。
最后,将PAM项目延展至包含所有漏洞――不仅仅是那些很容易被补上的,可带来安全的指数级提升。
相关阅读
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论