物联网僵尸网络严重威胁网络基础设施安全——对Dyn公司遭僵尸网络

第2卷第11期2016年11月Vol.2 No. 11 Nov. 2016

物联网僵尸网络严重威胁网络基础设施安全

对Dyn公司遭僵尸网络攻击的分析

李柏松常安琪张家兴

(安天实验室哈尔滨150028)(libaisong@antiy.cn)

IoT Botnets Threatened Network Infrastructure Security Seriously — Analysis of Dyn Attacked by Botnet

Li Baisong，Chang Anqi，and Zhang Jiaxing

(^Antiy Laboratory, Harbin 15002S)

Abstract In the past few years，the prosperity of the smart device market has developed in a skyrocketing pace due to the rapid development of technology, productivity, as well as the fast expanding scale of IoT (Internet of things). IoT is not only an important part in cyberspace, but also a critical point to promote the development of intelligent technology . However, the security issue of IoT device can’t be ignored. Recently, there have been several campaigns made by attackers who managed to use Botnet made by IoT devices, resulted from user’s ignorance of security and the potential security risks of the device itself. This article is based on the DDoS (distributed denial of service) attacks against East Coast of US DNS infrastructure, aiming at getting readers’ attention to IoT security. Many IoT devices have security risks which could be exploited by malicious code, therefore, how to use them properly with our privacy and security- secure is one of our current priorities we should care about.Key words IoT； Botnet； threats； DDoS； cyber security

摘要技术的发展推动了制造工艺的进步，同时也促成了智能设备市场欣欣向荣的景象.物联网

IoT作为新一代信息技术的重要组成部分，也是信息化时代的重要发展阶段.由美国东海岸的DNS

基础设施所遭受的DDoS攻击事件引出了对于IoT安全的思考.市面流行的IoT设备都存在可被恶 意代码利用的安全隐患，因此所暴露的IoT安全问题应该引起我们的重视.关键词物联网；僵尸网络;威胁；分布式拒绝服务；网络安全中图法分类号TP393

在互联网飞速发展的今天，很多新的技术、理 论、产品等等都出现在人们的生活中，从积极方面

收稿日期:2016-10 -2 6

1042 |

来看，这些技术的确带给人们更高的生活质量，也解决了部分社会问题等.但是从消极方面来看，这

»>...

些新的互联网产物还有很多的安全问题未被解 决.物联网(Internet of things，IoT)在早些年，这 个还略微有些陌生的名词，如今已经走向了我们 生活的方方面面，比如云端监视器、网络工控设 备、卫星天线设备等等.但是IoT安全也是一直令 人困扰的一个问题，大部分的安全会议都会说到 当今的IoT安全现状不容乐观.

发生了一起利用IoT设备发起DDoS攻击的严重 事件，致使大半个美国互联网瘫痪.此次DDoS攻 击对象是为美国众多公司提供核心网络服务的 Dyn公司.我们第一时间对此事件启动高级应急 响应机制，进行了跟进和分析.据Dyn公司当天早 上确认，其位于美国东海岸的DNS基础设施所遭 受的DDoS攻击来自全球范围，严重影响其DNS 服务客户业务，甚至导致客户网站无法访问.该攻 击事件一直持续到当地时间13点45分左右.该 公司在官网表示将追查此事，并将发布事件的分 析报告，如图1、图2所示：

1 DynDDoS攻击事件回溯

美国当地时间2016年10月22日7点10分，

Update Regarding DDoS Event Against Dyn Managed DNS on

October 21, 2016

Incident Report for Dyn, Inc.

图1 Dyn官方确认W

DDoS Attack Against Dyn Managed DNS

Incident Report for Dyn, Inc.

图2官网事件状态更新情况[2]

此次攻击事件中，受到影响的服务主要有:

Dyn, Twitter, Etsy, Github, Soundcloud, Spotify, Heroku, PagerDuty，Shopify，Intercom，另夕卜，受

以正在厄瓜多尔驻英国大使馆避难的维基解 密创始人阿桑奇遭遇断网而引发的攻击事件.事 件发生后，国内智能设备厂商雄迈旗下多款产品 被媒体热议，雄迈也就此事发表声明，并宣布召回 在美国销售的早期部分产品[4].

波及的站点还包括PayPal、BBC、华尔街日报、

Xbox官网、CNN、HBO Now、星巴克、纽约时报、 The Verge、金融时报等门户网站访问也受到影

响.据统计，此次DDoS攻击事件涉及的IP数量达 到千万量级，其中大部分是物联网智能设备.由于

“Mirai”僵尸网络程序在2016年9月被公开源代 码，故推测此次事件与“Mimi”恶意代码有关.

僵尸网络是在网络蠕虫、特洛伊木马、后门工 具等传统恶意代码形态的基础上发展、融合而产 生的一种新型攻击方式.从1999年第1个具有僵 尸网络特性的恶意代码PrettyPark现身互联网， 到2002年因SDbot和Agobot源码的发布和广 泛流传，僵尸网络快速地成为互联网的严重安全 威胁.

这次利用Mirai恶意程序感染IoT僵尸网络 的事件发生后，黑客组织NewWorldHackers和

Anonymous宣称对此负责[3].此事件被认为是用

2对事件及IoT僵尸网络的跟踪分析

由于参与此次DDoS攻击事件的IoT智能设

备主要由Mimi恶意代码控制，故分析人员对

2016年10月4日上传到Github上的Mirai源码

进行了相应分析，给出了目录结构，如图3所示.

分析发现泄露出的Mirai事件相关源码主要 包括2部分：

1) loader，加载器，其中存放了针对各个平台 编译后的可执行文件，用于加载Mimi的实际攻击 程序.

2) mirai，用于实施攻击的程序，分为bot(被 控制端，使用C语言编写)和cnc(控制端，使用Go 语言编写)2部分.

网址 http://ns.sic.gov.cn | 1043

信息安全研究

第2卷第11期2016年11月Vol.2 No. 11 Nov. 2016

用于攻击的模块，所调用的攻击子模块

在其他attack_xxx.c中定义。

这个文件夹存放了被控制端模块的源

码。

这个文件央存放了加载器的源码，和针 对各种平台编译后的可执行文件。

loader

Mirai事件泄露源码

mirai

扫描器模块，用于扫描网络上具有弱口 令的设备。

table.c

CnC

tools

存放经过加密的域名数据。

图

3 Mirai源码目录结构分析

路由器、网络摄像头、数字视频录像设备.从事

DDoS网络犯罪组织早在2013年开始就将抓取僵

被控制端具有的模块如表1所示:

表1

模块文件名

attack, cchecksum, ckiller, cmain, crand, cresolv. cscanner, ctable, cutil, c

被控制端模块

模块作用

尸主机的目标由Windows转向Linux,并从x86 架构的Linux服务器设备扩展到以嵌人式Linux 操作系统为主的I〇T设备.

Mirai日语的意思是“未来”,研究人员将新变

用于攻击的模块，所调用的攻击子模块在其他

attack_xxx» c 中定义.用于计算校验码的模块.用于结束进程的模块.主模块.用于调用其他子模块.用于生成随机数的模块.用于解析域名的模块.

用于扫描的模块，可以扫描网络上可被攻击 (如使用弱口令)的设备.

用于存放经过加密的域名数据的模块.用于提供一些实用工具的模块.

种命名为“Hajime”，日语的意思是“起点

目前，利用I〇T设备构建的僵尸网络规模不 断增长，典型的I〇T DDoS僵尸网络家族包括 2013年出现的CCTV系列、肉鸡MM系列[7] (ChiekenMM，数字系列 10771，10991，25000, 36000)，BillGates，Mayday, PNScan，Gafgyt 等众 多基于Linux的跨平台DDoS僵尸网络家族.如 表2所示.

安天捕获并分析了大量关于智能设备、路由 器的恶意样本，并配合主管部门对部分设备进行 了现场取证.这些设备主要是MIPS, ARM等架 构，因存在默认密码、弱密码、严重漏洞未及时修 复等因素，导致被攻击者植人木马.由于物联网设 备的大规模批量生产、批量部署，在很多应用场景 中，集成商、运维人员能力不足，导致设备中有很 大比例使用默认密码、漏洞得不到及时修复.包

Mirai[5]僵尸网络的相关源代码于2016年9

月30日被一名ID为“Anna-senpai”的用户发布在

hackerforums论坛.该用户声称，代码出于“让用

户增加对安全工业的重视程度”的目的而发布.在 代码被公布后，相关技术立刻被运用到其他的恶

意软件项目中.在2016年10月4日，这份代码被 上传到Github上并很快被fork逾千次[6]-Mirai主要的感染对象是物联网设备，包括:

1044

括Mimi等针对物联网设备DDoS人侵主要通过

Telnet端口进行流行密码档暴力破解，或默认密

码登录,如果登录成功，通过Telnet登录成功后就 尝试利用busybox等嵌入式必备的工具进行wget 下载DDoS功能的bot，修改可执行属性，运行控 制物联网设备.由于CPU指令架构的不同，在判 断了系统架构后一些僵尸网络可以选择MIPS,

ARM,x86等架构的样本进行下载.运行后接收相

关攻击指令进行攻击•

表2

DDoS僵尸网络家族

病毒名

变种数量

HASH数量Trojan[DDoS]/Linux. Mirai2>100Trojan[DDoS]/Linux. Xarcen5>1000Trojan[DDoS]/Linux. Znaich

3>500Trojan/Linux. PNScan2>50Trojan[Backdoor]/Linux. Mayday11>1000Trojan[DDoS]/Linux. DnsAmp5>500Trojan[Backdoor]/Linux. Ganiw5>3000Trojan[Backdoor]/Linux. Dofloo5>2000Trojan[Backdoor]/Linux. Gafgyt28>8000Trojan|lBackdoor]/Linux. Tsunami

71>1000Worm/Linux. Moose1>10Worm[Net]/Linux. Darlloz

3

>10

从一个Mirai的样本里面可以看到如下的弱 密码：

root admin user login guest support oracle netman cisco Telnet device tech netgear toor ora­cle netgearl 7ujMko0vizxv juantech realtek xmh- dipc hi3518 Zte521 zlxx supervisor dreambox meinsm ubnt klvl23 anko xc3511 1234 maxided default pass vagrant klvl234 jvbzd 7ujMko0admin ikwb password Administrator vizxv system 123456 operator changeme smcadmin 12345

在此前跟进I〇T僵尸网络跟踪分析过程中， 分析人员发现如下包括数字视频录像机、网络摄 像头、智能路由器的品牌中有部分型号存在单一

默认密码问题.如图4所示•

技术的发展推动了制造工艺的进步，同时也 促成了智能设备市场欣欣向荣的景象.然而，或许 由于设备的安全防护机制不成熟，抑或由于用户

»>...

1^11 ConnKting VWACTi

on

Packets

M06OT1X.

VI DEO C

IQ

^flkd

fjhHISiLtCOISI

■Q inVision 逆

xerox 0

U Realtek

TOSHIBA

6 dreambox

LEARNING

各

NETGEAR

」UAN

AX\\Sm. %

ZTE

图4存在默认密码的设备品牌

对物联网设备安全重视不足，可以确定的是，目前

很多市面流行的IoT设备都存在可被恶意代码利 用的安全隐患.

从我们的态势感知系统对DDoS僵尸网络的 样本传输、上线控制、攻击指令进行持续监控发 现，在系统监控的僵尸网络家族中，有90%的攻击 目标主要集中在国内，其中，主要集中在我国东部 沿海省份的占59%.如图5所示：

众多攻击事件中部分监测结果如表3所示• 2014年之前使用Linux系统的IoT设备被植 人恶意代码主要通过扫描弱密码.但在破壳漏洞 (CVE-2014-6271)m出现后，互联网上也出现了大 量利用该漏洞进行扫描植人恶意代码事件.根据 当时我们的蜜罐系统捕获的情况来看，破壳漏洞 出现后，针对Linux主机入侵的事件呈现全面上 升趋势.我们发现的首例通过破壳漏洞实际感染 的事件是在2014年9月份[8].而后安天陆续发布 多篇IoT设备恶意代码分析报告，如:《利用路由 器传播的DYREZA家族变种分析》

《黑客用

HFS搭建服务器来传播恶意代码》[1°]，另有一篇 《Trojan[DDOS]/Linux> Znaich分析报告》当时并

网址 http://ns.sic.gov.cn | 1045

信息安全研究

第2卷第11期2016年11月

Vol.2 No.11 Nov. 2016

表3

发现时间

2016-10-22T09：36：482016-10-20T08：12：572016-10-20T01：36：202016-10-09T18；52：352016-09-05T10：57：00

监测结果

攻击目标

203.195.*.*: 15000

样本家族

Mayday家族DDoS家族DDoS家族billgates 家族billgates 家族

控制者ip端口

122. *.*•*: 36001

攻击类型

tcp flood

广州X讯

www. 52***. com

XX阁

www. ssh***. com/user. php

深圳盛XX州贸易有限公司

104. *. *. *122. *. *. 6

121.199. *. *

杭州XX云

59.151.*.*

北京XX通

说明:DDoS防护建议防御DDoS针对真实的CnC攻击的难度较大,如果识别为物联网设备进行get请求可以对其进行屏蔽.

未公开.而其他少数具备获取主机权限的漏洞也 发现被攻击者利用•

5) IoT设备具有真实IP，可更加有效对抗

DDoS防御和清洗机制，对目标造成更大规模杀伤.

3 DDoS攻击组织在IoT设备上快

速发展的分析

物联网，即物物相连的互联网，是在互联网基 础上延伸和扩展的网络.它是新一代信息技术的 重要组成部分，也是“信息化”时代的重要发展阶 段.物联网并不仅仅是网络，它还可以利用感知技 术、信息传感等技术的嵌入式传感器、设备及系统 构建成复杂的涉及实体社会空间的应用，这些应 用所在的设备很多都是维系民生的重要节点的关 键基础设施设备，甚至包括关键工控设施的基础 传感器.被人侵的这些设备本身具有更多的资源 纵深价值，这比使用这些设备参与DDoS攻击所 带来的危险更为严重.

DDoS攻击组织在IoT设备上快速发展，我们 分析其原因在于：

1) Windows的安全防护水平越来越高，僵尸 网络攻击组织较难快速获取大量僵尸主机，而IoT

从本次影响到美国大部分网站的DDoS事件 可以看出，由IoT设备发起的大规模僵尸网络攻 击，将对国家的重要基础设施形成巨大的威胁.加

强IoT设备的安全防护，提高僵尸网络攻击人侵

IoT设备的成本，以及加强IoT设备的安全威胁

监测预警，是我国乃至全球主流安全厂商的责任.我们认为，本次影响到美国大部分网站的 DDoS事件虽然是一起严重的安全事件，但对整体 的社会影响并没有想象中的那么大，DNS的问题 影响面很大，但并没有动摇网络空间的基本面，只 是短时间内造成用户访问不了一些个人服务系 统.而更危险的行为是有针对性的、有放大效应的 针对重要节点的威胁行动.特别是使用网络攻击 影响实体空间的威胁.

在回顾2015年网络安全威胁时，我们表达了 “威胁将随互联网+向纵深领域扩散与泛化”的观 点[11]，使用泛化(malware/other) —词来说明安全 威胁向智能设备等新领域的演进，之后泛化(mal-

ware/other)—直被作为主要的威胁趋势，除我们

设备普遍缺少安全防护措施；熟悉的 Windows，Linux 和其他类 Unix, iOS，An­

2) 随着小到智能家居、大到智慧城市的物联 droid 等平台外，小到智能汽车、智能家居、智能穿 网蓬勃发展，IoT设备数量大幅增加；

3)

戴，大到知识城市，安全威胁已无所不在.如图6

大量IoT设备未嵌入安全机制，易于入侵， 所示.

因此，在这次针对Dyn的DNS服务的大规模

一*旦遇到问题也不能及时响应，如暴露在网络中，

DDoS事件中，我们更重视其中暴露的IoT安全问 可能被恶意代码控制接管；

4) 嵌人式Linux设备与Windows桌面系统 题.尽管DNS的确被很多人认为是互联网的阿喀

相比，具有24h持续在线的特点，是“更加稳定的 攻击源、

琉斯之踵，但我们同样不要忘记，互联网是依托IP 地址联通的，而域名是为便于人记忆而产生的.对

»>...

2015网络安全威胁泛化与分布

■明

G

SIwllStmndOwt

«eeismiK«*©SA

Windows系统

a屋■

智能疙居

cum

nni [std>

oo

Linux系铳

DKaani

MU n

i「• ：!

trt Tin Anttwin Mack

O

外设与©件

通mi5音商

g挂绔端

El

智能交通与汽$

息灰1 Dodo«»Ofn (WU-20H!' ^

DOdfCVIp*. JMP

金铖与支付s全

5天

图6网络安全威胁泛化与分布图

于北美大型行业用户来说，其更多广泛采用VPN 和IP地址链接，其基本系统运转并不依赖DNS 的解析.因此，如此大流量的DDoS尽管给网民访 问网站带来一定阶段性的不便，但其并不足以冲 击北美社会运行和互联网的根基.从这个意义上 看，该事件的热度更多来自媒体对公众感觉的放 大，而其实际影响则相对有限.而更危险的行为是 有针对性的、有放大效应的针对重要节点的威胁 行动，特别是能够产生实体空间后果的威胁

利用各种探头获取僵尸网络各类数据，汇总到态 势感知关联平台，进行统一的存储和展示，用于打 击决策.

感知系统中探头数据主要包括蜜罐、流量监

控、沙箱、养殖设备的信息.其中利用开启Telnet 23和2323端口的蜜罐可以捕获针对IoT设备的 扫描数据，进一步可以获取入侵的bot样本.网络 流量监控则可以对已知IoT的bot样本传输、控 制信息进行发现，网络流量中采用单包规则检测 方式可以识别部分僵尸网络的上线控制信息.通 过对CnC的IP、域名进行监控也可以发现肉鸡上 线事件.另外对于IoT设备产生HTTP的get请 求也可以用行为识别未知攻击，识别未知感染IoT 设备.由于僵尸网络传输过程采用HTTP协议， 因此可以检测HTTP中的URL，以及对文件进行 还原可检测传输文件.对于蜜罐和流量还原的样 本文件可以采用沙箱分析发现未知威胁，沙箱采 用虚拟执行技术，可以对威胁载荷的行为进行深 度分析和全面揭示，不依赖于特征码升级.可以判 断输人样本是否是僵尸网络类型，并能够提取样 本的控制信道域名或IP端口信息.养殖设备则可 对botnet样本进行长期的运行监控，也可以利用

网址 http://ns.sic.gov.cn | 1047

4 IoT僵尸网络的防御

针对IoT设备被攻击控制僵尸网络用于

DDoS攻击，如果采用传统的被动防御方案，只能

是被动挨打，传统的DDoS僵尸网络预警只有在 发生真正的攻击之时才能够感知到，对于攻击者

信息知己知彼方能百战百胜，因此在IoT僵尸网 络的传输、控制、攻击等各个环节进行信息感知是 一条致胜之路.

僵尸网络的监控预警，需要采用全方位、大数 据方法对僵尸网络信息进行感知，预警感知系统

信息安全研究

第2卷No. 第1111 期2016Nov. 2016

年11Vol.2 月模拟客户端加人僵尸网络持续获取攻击指令及更 新信息.

数据汇总存储关联分析可以发现僵尸网络采 用的网络设施、攻击工具、僵尸网络规模、攻击目 标等信息，某个时间段内哪个僵尸网络控制节点 比较活跃，主要的攻击目标地域所属，所使用的攻 击方式、攻击时间等信息.结合威胁情报数据甚至 可以追踪到僵尸网络控制者.

在I〇T威胁的安全防护方面用户可以通过我 们的态势感知系统达到对骨干网进行流量监控与 样本自动化分析的目的，从采集、样本分析、流量 监控对僵尸网络的一切活动包括扫描、传输、控 制、攻击等环节进行感知与追溯.真正达到监控预 警与态势感知的目的.

5结

语

毫无疑问，DNS体系是信息基础设施，但IoT 僵尸网络绝不仅仅是这起攻击事件的道具.前文 提到物联网不仅仅是网络，被人侵的这些设备本 身具有更多的资源纵深价值，这比使用这些设备 参与DDoS攻击所带来的危险更为严重.其大面 积的脆弱性存在，有着更为隐蔽、危害更大的社会 安全风险和风险.只是这种风险更不容 易被感知到罢了.

把公众影响力作为衡量网络安全事件的主要 度量衡，是大规模蠕虫爆发时代的惯性.但在安全 威胁日趋变得更加定向而隐蔽时，如果我们只关 注容易看见的威胁，就必然会放过更危险的敌人. 克劳赛维茨说:“几乎所有的战局，间歇和平静的 时间远远多于行动的时间.”对于安全工作者来 说，还有什么比毫无先兆的平静更令人恐惧的呢？ 加强IoT设备的安全防护,提高攻击入侵IoT设 备的成本，以及加强IoT设备的安全威胁监测预 警，是安天已经在进行的工作，就像我们在过去10 年让安天AVL SDK引擎运行于数万台防火墙和 数亿部手机中一样.

参考文献

[1] Dyn. DDoS attack against Dyn managed DNS [EB/OL].

[2016-10-22 ]. https：//www. dynstatus. com/incidents/ nlr4yrrl62t8

[2] Dyn« Update regarding DDoS event against Dyn managed

DNS on October 21, 2016 [EB/OL]. [ 2016-10-22 ]. https ： 11 www. dynstatus. com/ incidents/ 5 r9mppcl kb7 7[3] Pierluigi P. NewWorldHackers and anonymous behind

massive DDoS attack on Dyn DNS service [EB/OL]. [2016-10-22], http：//securityaffairs. co/wordpress/52583/ hacking/dyn-dns-service-ddos-3* litml

[4] 杭州雄迈.雄迈宣布召回在美国销售的部分产品声明

[EB/OL], [2016-10-25]. http：//www, xiongmaitech, com/ index, php/news/info/12/76

[5] Wikipedia, Mirai (malware) [EB/OL], [ 2016-10-25 ].

https ：//en. wikipedia. org/wiki/Mirai_(malware)[6] Github.

Mirai-Source-Code [EB/OL].

[ 2016-10-25 ].

https：//github. com/jgamblin/Mirai-Source-Code

[7] AntiyCERT. DDoS攻击组织肉鸡美眉分析[£3/01^].

[2016-10-22]. http：//www. antiy. com/response/Chicken_ Mutex_MM. html

[8] Antiy CERT. “破壳”漏洞相关恶意代码样本分析报告

[EE^OL]. [2016-10-22]. http：//www. antiy. com/response/ Analysis一 Report _ on _ Sample _ Set _ of _ Bash _ Shellshock, html

[9] Antiy CERT•利用路由器传播的DYREZA家族变种分析

[EB/OL]. [2016-10-23]. http：//www. antiy. com/response/ dyreza. html

[10] Antiy CERT.黑客用HFS搭建服务器来传播恶意代码

[EB/OL]. [20165-10-23]. http：//www. antiy. com/response/ hfs. html

[11] Antiy CERT. 2015年网络安全威胁的回顾与展望

[EB/OL]. [2016-10-28]. http：//www, antiy. com/response/ 2015_Antiy一Annual一Security一Report* html

李柏松

学士，高级工程师，现任安天实验室副总 工，兼任安天安全研究与应急响应中心 主任(

主管安全分析和应急响应）.主要 研究方向为恶意代码分析与检测、高级 持续性攻击威胁检测与防御

.

libaisong@ antiy. cn

常安琪

硕士,工程师，主要研究方向为信息安全

.

changanqi@ antiy. cn

张家兴

学士，工程师，主要研究方向为信息安全

.

zhangjiaxing@ antiy. cn