最近在学习人工智能防治物联网设备的ddos攻击有关项目时接触到目前主流的IoT攻击模式,其中就包括Mirai僵尸网络。学习了《Understanding the Mirai Botnet》一文,原文链接如下
https://xueshu.baidu.com/usercenter/paper/show?paperid=ef4bd68424819b095fa8837b5fe58049
僵尸网络是互联网上的黑空集中控制一群计算机,是一种大规模的网络攻击方式。包括分布式拒绝服务攻击、海量垃圾邮件攻击等,对网络的安全运行有着严重的危害。事实上,被僵尸网络控哦只的僵尸主机往往并不知情,儿mirai僵尸网络就是通过控制连接物联网的应用设备来感染目标主机的一种僵尸网络,对物联网IoT的安全造成了极大的隐患。
2016年9月中旬,mirai僵尸网络出现并发起了大规模攻击,在同年10月21日造成美国境内部分网络中断,东部大面积网络瘫痪,其控制下数十万的物联网设备成为了断网事件的帮凶。
Mirai网络结构和攻击过程
①扫描阶段scan。已感染的bots(物联网设备)进行随机扫描,并发送TCP SYN探针到TELNET TCP22和TCP23上的伪随机IPv4地址。这些SYN是异步无状态的。(异步无状态:我们知道提升扫描速度的瓶颈在于发包后等待回复的时间,所以去掉这个等待时间我们就可以提升扫描速度,同时因为去掉了等待,我们需要另加一个收包的模块,用来收集扫描后返回的信息。
在无状态扫描中,收发是异步的,发包的模块不关心收包模块会不会收到回复、收包模块也不知道发包模块向谁发送了什么,也就是收发包模块间没有交互,发包的函数只负责发送,收包的模块接收特定tcp flags字段的数据包就好,这样就没有了等待回复的时间。)
②报告阶段report。mirai暴力登陆被识别的受害主机victim,登陆成功后,mirai将受害者IP和相关凭据发送到硬编码报表服务器,设备信息发送给Report Server。(硬破解是将数据直接嵌入到程序和其他可执行对象的源代码中,而非从外部获取数据或在运行时生成数据)。
③派遣并加载阶段dispatch and load。Report Server向 Loader Server发送加载恶意代码的命令,新感染的设备作为bots进行下一个感染循环。
感染成功后,mirai会删除下载的二进制文件并将其进程名融合到伪随机字母数字字符串中,mirai还杀死绑定到TCP22/23的和其他与竞争感染相关的进程,以提升自身的隐蔽性。
④攻击阶段attack。攻击者发送指令和控制,利用僵尸对攻击目标发动攻击。
针对Mirai的检测方式
三种检测方式:基于异常检测、基于DNS流量检测、基于蜜罐的检测。
简单来说蜜罐就是模拟某种有漏洞的系统服务作为诱饵,通过分析被攻击的蜜罐得到攻击者的行为特征。
蜜罐系统的要求:
(1)能够监控系统本身的行为。
(2)能够监控蜜罐的网络进出端口流量,能够分析数据包。
(3)能够规范化的处理日志,具备短期内恢复删除文件的功能,防治mirai攻击后删除相关日志。
不同Mirai僵尸网络模型
集中式僵尸网络
如果将僵尸网络比作戏剧作品,则C&C(命令与控制服务器,也称为C2)服务器是导演。剧中的演员就是被恶意软件感染并已加入讲师网络的机器人。
当恶意软件感染设备时,机器人发出定时信号通知C&C它已到位。此连接会话保持打开,直到C&C准备好命令机器人执行其指令,例如发送垃圾邮件以及进行密码破解和DDoS 攻击等。
在集中式僵尸网络中,C&C能够将僵尸主控机的命令直接传达给机器人。但是,C&C也是单一故障点:如果它被关闭,僵尸网络也将失效。
分层C&C
僵尸网络控制可以划分为多个层级,拥有多个C&C。专门的服务器组指定用于特定目的,例如,将机器人组织到小组里来传送指定的内容,等等。这使得僵尸网络更难以消灭。
分散式僵尸网络
对等(P2P)僵尸网络是新一代僵尸网络。P2P机器人不与集中式服务器通信,而是同时充当命令服务器和接收命令的客户端。这避免了集中式僵尸网络固有的单一故障点问题。由于P2P僵尸网络无需C&C即可运作,因此更难消灭。例如,Trojan.Peacomm和Stormnet就是P2P僵尸网络幕后的恶意软件。
Mirai的防治
统计显示,全球约有五分之一的物联网设备被mirai及其变种病毒感染。
除了全面更改密码,采用最新补丁外,有相关需求的企业应建立一个包括防火墙、VPN、防病毒网管和杀毒的整套防御策略。mirai的危害超乎人们的想象。
结语
全球通用的物联网安全标准目前尚且没有建立,缺少对于该类型技术的全球规范。越来越多没有智能保护的无线网设备涌入市场,在设备制造商趋于更低成本生产设备的同时,也应当让他们承担一定抗攻击的责任,安全责任落实到位才是从根源上解决僵尸网络的关键所在。