技术分析：智能硬件蠕虫威胁互联网安全

　　引用：

　　前日起（12月10日）全球互联网范围DNS流量异常。云堤团队（DamDDoS）迅速参与分析处置。本次事件攻击自12月10日凌晨起至今仍在持续，为近年来持续时间最长的DNS DDoS攻击，目前已监测到的攻击最大流量近1亿Qps（约合76.38Gbps）

　　跟踪：

　　12月10日，DNS异常故障时期，360网络攻防实验室的小伙伴也在跟进此问题。之前定位到*.arkhamnetwork.org； *.arkhamnetwork.com（针对某游戏服务提供商的权威域名服务器进行攻击，最后服务商解析内容fraud.ddos.go.away，投降）360的递归DNS缓存被攻击的流量大概30000QPS，使用的攻击方法是：通过发起对随机前缀域名查询的解析请求造成对递归服务拒绝服务。

　　下图是根据360大数据安全分析可视化平台发现一台BOT终端解析域名的情况，这个攻击特征非常明显，而且攻击方法也非常粗暴。

　　通过下面这张图片分析到遭受拒绝服务攻击的不止*.arkhamnetwork.org； *.arkhamnetwork.com，这两个根域名。其主要的两个DNS服务器是ns11.dnsmadeeasy.com和ns12.dnsmadeeasy.com，其中有很多台类似IP：167.114.25.179这样的bot发起了很多针对*.arkhamnetwork.org的DNS拒绝服务攻击请求。造成两台nameserver拒绝服务。

　　深入分析，这些IP地址大多数都是路由器、智能摄像头等设备。起初攻击者是通过这些远程命令执行，或者弱口令等方式获得系统权限。然后植入蠕虫程序，脚本运行后这个蠕虫的网络活动是在不断的扫描任意C段的23号端口，利用弱口令去抓更多智能硬件设备，扩大点数产生更大的攻击流量。

　　通过网络活动定位到调用网络活动的进程文件如下，该蠕虫程序会生成很多新的进程文件，进程文件中会包含此进程所执行的指令。

　　蠕虫程序在执行后会在指定目录下生成随机文件名的恶意代码，并在运行后自删除。

　　有幸的是，找到了一些没有删除的恶意样本。于是乎就把程序download下来分析。

　　首先判断这些恶意文件是ELF可执行文件，并不是什么脚本一类的。

　　我们在IDA下对样本文件进行静态分析，能够看到该蠕虫程序的一些任务指令，以及C2服务器的地址。还有一些是C2服务器IP地址显示这台智能硬件的状态。目前分析到SLEEP，Dildos这两个状态。

　　根据逆向分析后得到的关键信息发现该智能硬件蠕虫状态的进一步证据，下图显示的是该智能硬件处于Sleeping状态。

　　当进入Sleeping状态时，这个终端只与C2服务器（23.227.173.210）连接，不执行任何扫描感染任务，也不进行DOS攻击任务。

　　通过对这个智能硬件的程序分析总结一下智能硬件的蠕虫感染的途径，首先是由攻击者利用智能硬件漏洞获得root权限，执行蠕虫代码。C2服务器就等待智能硬件上线，随后在默认的情况下感染蠕虫的智能硬件是会自动扫描发现其它的智能硬件，并自动化利用漏洞让目标感染蠕虫程序。控制程序还有一个状态就是Sleeping，这个状态就是保持与C2服务器的连接。等待下发指令，当前不做任何网络活动。最后就是发起攻击的时候就是dildos状态。根据目前静态分析的结果有这样几个状态，不排除今后会有变种会有更多的状态。

　　危害

　　根据云堤的数据，12月10日，已监测到的攻击最大流量近1亿Qps，（约合76.38Gbps）结合国外的一些消息大概此次发起攻击的消息，是使用了1000多个终端发起的攻击。这个数字已经很可怕了，如果有10000个这样的智能硬件受到感染发起攻击，那么流量将会达到700G左右。更何况现在的智能摄像头，路由器的漏洞、智能插座层出不穷，未来出货量也是成倍增长。那么当智能硬件达到一个量级时，由于其自身安全问题会给互联网造成很大的安全威胁的。实际上这就是将网络战场延伸到智能硬件这个领域。

　　防范措施

　　这类恶意程序的防范方法很难，由于大多数都是驻留在智能硬件固件系统中，固件不具备查杀恶意程序所依赖的环境，彻底查杀起来非常难。而且很多用户在进行初次配置完成后就不会管这些设备了，这也增加了查杀的难度。

　　1.对于用户修改自己智能摄像头、路由器等硬件的默认密码。关注官方发布的更新程序。

　　2.对于厂商来讲，需要加强固件的安全审计，对智能硬件进行测评，保障智能硬件不存在信息安全问题，才可以供货。并关注国内外对智能硬件进行安全测试结果和漏洞。有新漏洞出现时需及时打补丁。

　　3.对于相关部门、运营商、安全公司，应该对这些BOT进行全方位的监控，如果BOT发起大量的异常攻击从运营商层面进行流量清洗。对BOT恶意版本的变化进行定期的取样和分析。研发相关查杀脚本。