重慶監(jiān)控新型僵尸網(wǎng)絡(luò)來襲，國(guó)內(nèi)超5萬臺(tái)攝像頭被控制在Mirai僵尸網(wǎng)絡(luò)攻擊造成美國(guó)東海岸大面積斷網(wǎng)事件之后，國(guó)內(nèi)也出現(xiàn)了控制大量IoT設(shè)備的僵尸網(wǎng)絡(luò)。近日360網(wǎng)絡(luò)安全研究院發(fā)布報(bào)告，率先披露了一個(gè)名為http81的新型IoT僵尸網(wǎng)絡(luò)。

    監(jiān)測(cè)數(shù)據(jù)顯示，http81僵尸網(wǎng)絡(luò)在中國(guó)已經(jīng)感染控制了超過5萬臺(tái)網(wǎng)絡(luò)攝像頭。如果按照每個(gè)活躍IP擁有10Mbps上行帶寬測(cè)算，http81僵尸網(wǎng)絡(luò)可能擁有高達(dá)500Gbps的DDoS攻擊能力，足以對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施產(chǎn)生重大威脅。

    Mirai之后，http81瞄上攝像頭

    今年3月，韓國(guó)安全研究人員PierreKim發(fā)布了一個(gè)關(guān)于GoAhead以及其他OEM攝像頭的脆弱性分析報(bào)告，涉及多家廠商超過1250個(gè)不同型號(hào)的設(shè)備，估算全球潛在涉及的攝像頭設(shè)備超過18萬個(gè)。

    重慶監(jiān)控利用PierreKim披露的漏洞，http81僵尸網(wǎng)絡(luò)的幕后操控者遠(yuǎn)程入侵了大量沒有及時(shí)修復(fù)漏洞的網(wǎng)絡(luò)攝像頭設(shè)備，在這些攝像頭中植入惡意代碼，只要發(fā)出指令就可以隨時(shí)向任何目標(biāo)實(shí)施DDoS攻擊。由于網(wǎng)絡(luò)攝像頭屬于長(zhǎng)期在線的設(shè)備，普遍擁有比較高的帶寬，相比由電腦組成的僵尸網(wǎng)絡(luò)具備更強(qiáng)的殺傷力。

    360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)，http81僵尸網(wǎng)絡(luò)借鑒了Mirai的端口嗅探手法和部分基礎(chǔ)代碼，但是對(duì)比僵尸網(wǎng)絡(luò)的關(guān)鍵特性，http81在傳播、C2通信協(xié)議、攻擊向量等方面與Mirai完全不同，屬于新的僵尸網(wǎng)絡(luò)家族。

    暗流涌動(dòng)，http81僵尸網(wǎng)絡(luò)急劇膨脹

    重慶監(jiān)控對(duì)普通公眾來說，Mirai是在美國(guó)斷網(wǎng)事件中“一戰(zhàn)成名”。但在此前數(shù)個(gè)月，Mirai就已經(jīng)在大規(guī)模掃描存在漏洞的物聯(lián)網(wǎng)設(shè)備，構(gòu)建遍布全球的僵尸網(wǎng)絡(luò)。統(tǒng)計(jì)顯示，Mirai僵尸網(wǎng)絡(luò)已累計(jì)感染超過200萬臺(tái)攝像機(jī)等IoT設(shè)備。

    http81僵尸網(wǎng)絡(luò)也正在急劇擴(kuò)張。360網(wǎng)絡(luò)安全研究院研究員李豐沛介紹說，360全球網(wǎng)絡(luò)掃描實(shí)時(shí)監(jiān)控系統(tǒng)早在4月15日發(fā)現(xiàn)http81僵尸網(wǎng)絡(luò)活躍度異常增加，當(dāng)日掃描事件數(shù)量比平時(shí)增長(zhǎng)4倍到7倍，獨(dú)立掃描IP來源增長(zhǎng)幅度達(dá)到40倍到60倍。4月22日，http81活躍度更是達(dá)到高峰，掃描來源的IP地址超過57,000個(gè)。與普通僵尸網(wǎng)絡(luò)100到1000個(gè)IP節(jié)點(diǎn)的規(guī)模相比，http81已經(jīng)成為一個(gè)巨型僵尸網(wǎng)絡(luò)。

    重慶監(jiān)控監(jiān)測(cè)數(shù)據(jù)顯示，http81僵尸網(wǎng)絡(luò)主要分布在國(guó)內(nèi)，尤其是北京、河南、山東、江蘇、廣州等地區(qū)，每日活躍的設(shè)備數(shù)量一般在2700到9500個(gè)之間。這意味著http81一旦展開DDoS攻擊，國(guó)內(nèi)互聯(lián)網(wǎng)很可能成為重災(zāi)區(qū)，其他國(guó)家和地區(qū)也不能完全排除受感染或受攻擊的可能性。為此360網(wǎng)絡(luò)安全研究院發(fā)布報(bào)告披露了http81僵尸網(wǎng)絡(luò)，向全球網(wǎng)絡(luò)安全社區(qū)發(fā)出安全警示。

    當(dāng)http81僵尸網(wǎng)絡(luò)被公開曝光后，開始變得更加低調(diào)和隱蔽。據(jù)360網(wǎng)絡(luò)安全研究院追蹤分析，http81控制主機(jī)域名的IP地址已改為私網(wǎng)IP地址，其掃描行為也明顯下降，暫時(shí)停止了大規(guī)模掃描。

    但是由于國(guó)內(nèi)的網(wǎng)絡(luò)攝像頭等設(shè)備大多缺乏安全更新維護(hù)，只要http81的惡意代碼沒有被攝像頭運(yùn)維人員清除，攻擊者隨時(shí)可以控制主機(jī)重新上線。如果任由http81僵尸網(wǎng)絡(luò)掃描感染更多設(shè)備，其防御難度也會(huì)越來越高。360網(wǎng)絡(luò)研究院正在持續(xù)監(jiān)控該僵尸網(wǎng)絡(luò)，一旦發(fā)現(xiàn)攻擊者重新上線，360將協(xié)同相關(guān)部門及時(shí)采取預(yù)防應(yīng)對(duì)措施。

本文編輯：重慶監(jiān)控公司（網(wǎng)址：http://m.5dxxw.com/）版權(quán)申明：本文章來源于網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系我們我們收到后立即刪除，謝謝！特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn),本站所提供的攝影照片,插畫,設(shè)計(jì)作品,如需使用,請(qǐng)與原作者聯(lián)系,版權(quán)歸原作者所有。