IoT 恶意软件攻击剖析 如何预防 IoT 设备加入僵尸大军（3）

look_w

攻击您已看到攻击者如何进入 IoT 设备，现在让我们谈谈攻击本身。
首先需要明确的是，IoT                    攻击的最终目的是接管设备，并将黑客个人意志强加到设备之上。攻击分两个阶段进行：扫描并接管阶段，以及攻击启动阶段。两个阶段通常都由一个执行。
扫描并接管CNC 程序扫描网络上的 IP 地址，查找具有开放端口的主机，如果找到一个端口，就会尝试使用（例如                admin/admin、root/admin、user/user 等）进行登录。
如果登录成功，则会运行一个脚本来报告设备的 IP 地址和要使用的登录凭证。然后，CNC 程序会将恶意软件推送到它需要进行攻击的设备。该设备现在已，而且正等待来自 CNC 的开始攻击的进一步指令。
攻击扫描程序继续执行此过程，接管尽可能多的新设备。接管的每个设备被称为僵尸。
没有人确切知道 IoT                设备从变成僵尸到在攻击中被利用会经历多长时间。可能会经过几小时、几天、几星期或者几个月，僵尸才被要求采取行动。在此期间，设备的所有者几乎完全不知道发生了什么。
攻击启动一个 IoT                    设备通常不是很强大，所以一个僵尸没有多大威胁。但是如果创建了一个连接在一起的僵尸群来实现一个共同目的，那就要当心了！这种僵尸网络攻击由数百、数千乃至数十万个僵尸组成，它们都在黑客的掌控之下。太恐怖了。
攻击者通常使用他们的僵尸网络武器实现两种目的之一：DDoS 攻击或垃圾邮件僵尸。

• 拒绝服务 (DoS) 攻击旨在通过向目标主机发送大量的                        HTTP（和其他）流量，使其无法应对，从而削弱主机的性能。最终，目标主机无法响应，并发生宕机。分布式拒绝服务 (DDoS)                        攻击由许多主机计算机（数千或数十万台）发起，而非一台高性能计算机（或计算机集群）。在 IoT 僵尸网络攻击中，主机计算机就是众多的                        IoT 设备。目标毫无幸免的机会。
  
• 垃圾邮件僵尸正在助长垃圾邮件行业。 。系统管理员花大量时间和精力将已知的垃圾邮件中继加入黑名单，希望只有少量垃圾邮件进入您的收件箱。                        但是如果垃圾邮件看起来是从未加入黑名单的 IP 地址发送的呢？一个通过老奶奶的路由器（grandma's                            router）在老奶奶的网络（grandma's network）上运行的 IoT                        设备？完美！老奶奶的 IP 地址（ grandma's IP address）不可能出现在黑名单中。此外，如果老奶奶的智能电视（grandma's smart TV）只是 10                        万个发送垃圾邮件的僵尸之一，可以想象尝试找出所有这些要加入黑名单的 IP 地址对管理员而言是个多么可怕的噩梦！
  

一旦攻击者有了可自由使用的僵尸网络武器，他们就拥有了海量小设备，可以用它们来创造一股或者向全世界发送垃圾邮件。
IoT 恶意软件攻击的最新示例以下是您可能听说过的一些最新的 IoT 恶意软件攻击。
Mirai这是一次 Busybox 攻击。它的原理是扫描互联网以寻找开放了端口 23 (telnet) 的主机，然后使用弱密码矢量获取运行 Busybox                的设备的访问权。进入该设备之后，就会安装恶意软件并连接 CNC 服务器，然后在这里等待进一步指令。攻击时，Mirai CNC                    服务器会指示所有受它管辖的僵尸，命令它们流量，使目标主机不堪重负。
Mirai 或许是最著名的攻击，（事实证明）它来执行攻击。Mirai 在一些方面与众不同：

• Mirai 包含一个“勿惹”服务器列表，其中包含通用电气、惠普和美国国防部。
• Mirai 的作者（只知道名叫“Anna-senpai”）于 2016 年 9 月 30 日在 Hack                    Forums 上。

Mirai 执行了多次重大攻击。第一次攻击是 2016 年 9 月 20 日针对发动的。另一次攻击发生在 2016 年 10 月 21                    日，是 发动的，破坏了流行的流媒体服务 Netflix，以及 Twitter、Airbnb                等。
Errata Security 博客的安全研究人员 Robert Graham 在美国加州旧金山的 。
Brickerbot安全公司 Radware 于 2017 年 4 月 4 日首次发出警告，声称存在一种他们称为“Brickerbot”的潜在攻击。
作为另一种基于 Busybox 的攻击，这个恶意软件会让设备变成砖（让它无法使用），该攻击因此而得名。
在这种攻击中（ (PDoS) 攻击），Brickerbot 通过一系列 Busybox                命令完成攻击：通过 Unix rm                命令擦除设备内部存储中的所有数据，并通过命令重新配置内核，最后重新启动（已无法使用的）设备。
在 4 月末，一个“灰帽”黑客（Hack Forums 的用户 ID 为“Janit0r”）声称是该恶意软件的作者，他在一篇 HackForums                    帖子中声称，该病毒针对的是非常容易攻破的设备的“粗心制造商”。您可以在进一步了解它。
垃圾邮件僵尸电子邮件是垃圾邮件发送者的命脉，他们的真正目的是通过包含醒目的主题、低俗的内容等（称为点击诱饵）的电子邮件将流量引导到客户的网站。用来诱惑您单击链接的战术各不相同（“一夜减掉                100 磅！立即单击此处！”或“免费获取 iPhone。立即单击此处！”）。
整体战略的关键是让邮件能够发送到您的收件箱。垃圾邮件发送者面临的主要问题是如何发送他们的电子邮件，才会不被垃圾邮件过滤器检测出，许多过滤器都使用了包含已知会被垃圾邮件发送者使用的简单邮件传输协议                (SMTP) 服务器 IP 地址的“黑名单”（比如借助 ）。
但是，如果垃圾邮件发送者可以为其 SMTP 服务器使用看起来合法的代理（称为 SOCKS 代理），这些代理的 IP                地址未加入黑名单（还记得老奶奶的智能电视吗？），他们的垃圾邮件有更大的几率会找到目标（但是很抱歉，您仍然无法获得免费 iPhone）。
Linux.ProxyM 病毒是一种，它会在初始特洛伊木马感染您的计算机后运行。如何运行？原理类似于：您被诱惑单击“立即获取免费                iPhone”链接，并同意安装“简单免费 iPhone 插件”（初始特洛伊木马），该木马会感染您的计算机。就在那时，一段脚本将会运行，扫描薄弱的                IoT 设备。如果它找到一个这样的设备，就使用现在熟悉的弱凭证攻击来获取访问权。
获得设备的访问权后，设备就会被包含执行攻击的实际恶意软件的二次载荷所感染。这个恶意软件连接到一个提供电子邮箱地址列表的 CNC 服务器和一个 SMTP                服务器。您的设备此时充当着 SOCKS 代理，它会在 CNC 服务器的命令下发送垃圾邮件。