一个使用物联网绘图板进行反射攻击的新僵尸网络被发现2017年10月30日，星期一，2017年10月30日早些时候，Darktrace检测到一个新的僵尸网络正在进行大规模的反射和放大攻击，目标是全世界的组织，包括一些政府机构。鉴于可能出现新的、更大的、更复杂的物联网黑客攻击，这种攻击比以往任何时候都更具针对性，比如最近报道的"收割者僵尸网络"，我们可以越来越期待在2018年看到。我们今年早些时候检测到的这种新型僵尸网络并没有像Srizbi每天发送600亿封垃圾邮件时那样使用台式电脑来发动攻击，而且它的方法与Mirai不同，Mirai使用drv和路由器来生成DNS-DDoS攻击，速度高达1Tbps。取而代之的是，这个新的僵尸网络正在霸占一系列不太可能的设备，其中包括物联网绘图板。它所包含的设备远远少于典型的僵尸网络，但通过使用SNMP的反射和放大技术，它试图发起一次强大的拒绝服务攻击。威胁以一种熟悉的方式开始。一家建筑公司在没有通知IT团队的情况下将智能绘图引入了他们的网络板，而且他们的内部安全控制无法识别易受攻击的设备。因此，设备的用户凭据从未从出厂默认值更改。这些凭证以及用于SNMP身份验证的公共字符串在Shodan上是公开的，Shodan还显示这些设备具有HTTP、HTTPS、Telnet和SIP的开放端口。当来自世界各地的数百个外部IP地址通过UDP端口161与设备建立数千个SNMP连接时，Darktrace检测到该漏洞。超过99%的连接至少包含一个"GetBulkRequest"，一个用于检索大量数据的SNMP操作。作为对这些请求的响应，这些设备通过"GetResponse"发出了成倍增长的响应，其中一些包含多达397000个"GetResponse"对象。在64种情况下，设备上传的数据超过1MB。Darktrace的AI算法观察到的SNMP活动示例：图1：异常SNMP连接–请求和响应显示为两个独立的SNMP连接，大数据是干嘛的，但我们可以将它们视为同一个连接。这些设备的正常网络活动包括非常偶然地使用"GetBulkRequests"和"GetResponses"。因此，这些活动峰值被Darktrace的AI算法视为高度异常，Darktrace的AI算法已经对这些设备的正常活动建立了深入的了解。通过实时检测到威胁，安全团队在威胁还处于早期阶段时就发现了威胁，而Darktrace的网络可见性为事件提供了详细的分析。图2：端口161上到端口161上某个设备的入站连接数显示为橙色。来自端口161的外部数据传输显示为绿色。左上角的时间是右原点的x轴值。使用SNMP版本2c和"GetBulkRequests"是反射和放大攻击的信号，这些攻击使用很少的资源来生成大型攻击。总共有273.2MiB的数据在161端口留下。端口80上的外部数据传输表明，攻击更进一步，因为许多外部设备试图访问设备的HTTP资源，好评返现，其中许多是管理PHP文件。外部设备试图通过HTTP访问的资源示例：/phpMyAdmin-2.11.1.0/scripts/安装程序.php/a_远程控制.htm/phpMyAdmin-3.1.2.0-所有语言/脚本/安装程序.php/mysql管理员/scripts.setup.php图3：报告期内来自161端口的总出站数据最后，Shodan还透露，这些设备正在端口5060上运行一个可访问的SIP服务器。包分析显示，发发淘客，外部设备"拨号"这些设备，并试图放置一个VoIP-奇怪的行为，攻击者的部分，仍然无法解释。图4：通过开放SIP协议的VoIP呼叫尝试目标IP地址可能是伪造的。通过从目标网络的欺骗IP发送数百个"GetBulkRequests"，大数据查询平台，真正云服务器，IoT绘图板被迫返回超过"GetResponses"数量的100倍。这证明了反射和放大攻击的威力。目前尚不清楚此次攻击中使用了哪些其他设备，但即便是建筑公司的少量物联网设备也能产生惊人的流量。目标IP属于娱乐和设计公司，甚至政府机构拥有的网站。通过报告异常的SNMP请求一开始，该公司的安全团队能够在损坏发生之前使绘图板离线。如果攻击成功破坏了目标网络，该公司可能会受到法律制裁。该公司修改了他们的安全政策，并在网络上的所有物联网设备的安全方面取得了长足的进步，以最大限度地降低未来事故的风险。为了进一步了解Darktrace如何独特地识别和中和正在进行中的、微妙的物联网威胁，请不要错过贾斯汀·费尔（Justin Fier）在明天10月31日晚上7点/晚上10点出现在VICELAND的网络战争秀上估计贾斯汀FierJustin是美国领先的网络情报专家之一，并在Darktrace担任网络情报与分析总监。他对网络安全和人工智能的见解已经被华尔街日报、CNN、华盛顿邮报和维克兰等主要媒体广泛报道。贾斯汀拥有超过10年的网络防御经验，曾为美国情报界的各个部门提供支持，在洛克希德马丁公司、诺斯罗普格鲁曼任务系统公司和阿布拉克斯公司担任关键任务安全角色。Justin也是一位技术高超的技术专家，他与Darktrace的全球战略客户合作进行威胁分析、防御网络操作、保护物联网和机器学习。分享在LinkedIn上的FacebookTweetShare发送电子邮件