黑客轻松接管29个僵尸网络 只因运营商太菜

by admin on 2020年2月29日

ZDNet 网站报导,安全专家一次性接管了 29
个僵尸网络,原理十分简单,利用了运营商技术“太菜”的方法。

澳门新葡亰信誉平台游戏 1

澳门新葡亰信誉平台游戏 2

在采访中,安全专家 Subby 介绍了他接管的这 29
个僵尸网络,他指出其实这些僵尸网络都比较小,最初的机器人数量显示总计将近
40 000,但在删除重复数据后,实际数量仅为 25
000,这样的数据对于一个单独的 IoT 僵尸网络来说都是很小的,更不用说是 29
个的总和了。

同时,因为机器少,所以输出流量也相当低,Subby
说:“我能够获得一个可靠的网络流量图,该图表由所有僵尸网络产生的流量组合而来,它的速度低于
300 gbit/ s”

澳门新葡亰信誉平台游戏,你能想象有一天,家里的大门随时被轻易打开,然后被盗窃、放炸弹、装偷听器等等吗?如果你服务器的SSH
服务被破解,服务器就会遇到上述安全问题,只是服务器被盗走的是比金钱更贵重的东西——数据,与炸弹破坏力相当的是木马病毒,而被入侵后则像是在你家装了偷听器与摄像头,监视着你的一举一动,甚至操纵着它,比如删掉你的所有数据。物联网设备也未能幸免。

澳门新葡亰信誉平台游戏 3
同时,因为机器少,所以输出流量也相当低,Subby
说:“我能够获得一个可靠的网络流量图,该图表由所有僵尸网络产生的流量组合而来,它的速度低于
300 gbit/ s”

谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby
解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C服务器后端。

SSH
暴力破解是一种对远程登录设备的暴力攻击,该攻击会使用各种用户名、密码尝试登录设备,一旦成功登录,便可获得设备权限。目前,SSH
暴力破解攻击已遍布全球160多个国家,该攻击主要瞄准使用默认账号密码的用户。由于虚拟货币的兴起,攻击者不再仅仅利用通过
SSH 暴力破解控制的设备来进行 DDoS 攻击,还用来挖矿,牟取利益。

谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby
解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C 服务器后端。

Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C
基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。

所以,接下来我们针对本期内容划重点,提醒用户如何更加有效地堤防SSH暴力破解:

Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C
基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。

为什么会发生这种情况?Subby
解释:“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程,或者是在
YouTube
上学习以建立他们的僵尸网络”,他说:“在对着这些教程按部就班的过程中,他们不会更改默认凭据。而且就算他们更改了凭据,通常密码也很弱,因此容易受到暴力破解的影响。”

您是属于容易中招的用户群吗?DDoS
类型恶意文件占比近七成,攻击者利用恶意样本「一路赚钱」挖矿主要攻击目标正从云平台向物联网设备迁移攻击源区域分布

为什么会发生这种情况?Subby
解释:“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程,或者是在
YouTube
上学习以建立他们的僵尸网络”,他说:“在对着这些教程按部就班的过程中,他们不会更改默认凭据。而且就算他们更改了凭据,通常密码也很弱,因此容易受到暴力破解的影响。”

SSH暴力破解攻击瞄准这类用户,看看你中招了没?

(文/开源中国)    

SSH 暴力破解攻击目标主要分为 Linux 服务器与物联网设备。近期统计的 SSH
暴力破解登录数据分析发现:

1、接近99%的 SSH 暴力破解攻击是针对系统默认的用户名,
admin、root、test占据榜单前三;

2、攻击最常用弱密码前三名分别是 admin、 password、
root,占攻击次数的98.70%;

3、约85%的 SSH 暴力破解攻击使用了admin / admin 与 admin / password
这两组用户名密码组合。

△ 攻击者所使用的 SSH 暴力破解攻击字典 Top 20

根据上图所示,大量 SSH 暴力破解攻击使用了 admin / admin 与 admin /
password
这两组用户名密码组合,而这两组用户名密码组合,正是路由器最常用的默认用户名密码组合。由此可知,使用上述默认配置的路由器设备已成为攻击的主要目标。

DDoS 类型恶意文件占比近七成,攻击者利用恶意样本「一路赚钱」挖矿

SSH暴力破解攻击后,攻击者对服务器植入恶意文件,分析发现,攻击成功后多数都是植入
ELF
可执行文件。植入的恶意文件中反病毒引擎检测到病毒占比43.05%,病毒文件中属
DDoS 类型的恶意文件最多,接近70%,包括 Ganiw、 Dofloo、 Mirai、 Xarcen、
PNScan、 LuaBot、 Ddostf
等家族。另外,仅从这批恶意文件中,就发现了比特币等挖矿程序占5.21%。

在对2018年06月10日7点12分发现的一次 SSH
暴力破解攻击进行溯源分析发现,在暴力攻击后,攻击者在设备中植入了 DDoS
家族的 Ddostf 僵尸程序和「一路赚钱」恶意挖矿程序这两个恶意样本。

被植入的「一路赚钱」64位 Linux 客户端压缩包解压后自动运行客户端主程序
mservice 并注册为 Linux 系统服务,该客户端文件夹中有三个可执行文件
mservice / xige / xig,其中mservice
负责账号登录/设备注册/上报实时信息,而xige 和 xig负责挖矿, xige
挖以太币 ETH,xig 挖门罗币 XMR。

此次 SSH 暴力破解攻击中,攻击者不仅利用僵尸程序发动 DDoS
牟取利益,同时在设备空闲时还可进行挖矿,达到设备资源的最大利用。另外,随着「一路赚钱」这种小白挖矿程序的兴起,降低了挖矿的技术难度,未来可能会出现更多类似事件。

主要攻击目标正从云平台向物联网设备迁移,用户需自查设备清理可疑程序

对 SSH
暴力破解攻击进行综合分析后,研究还指出,物联网的发展使设备数量呈现出指数级增长,物联网设备也逐渐成为主要的攻击目标。未来攻击者还将继续租用国外的服务器进行大规模攻击。

攻击源地域:遍布全球160多个国家

最近统计到的SSH 暴力破解攻击来自160多个国家。从攻击的源 IP
来看,来自中国的攻击源 IP
最多,占比达到26.7%,巴西、越南、美国不相上下。在国内,攻击源 IP
分布广泛且平均,没有出现攻击源 IP
特别集中的省市。这是因为攻击者为了隐藏自己真实位置,躲避追踪,使用了不同地区的
IP 进行攻击。

针对这种情况,我们为技术型用户与普通用户提供了几种不同的安全建议:

对于技术型用户来说,用户可以对自己的设备进行定期自查,检查是否有可疑程序运行并及时清理;设备的
SSH 服务仅开放密钥验证方式,禁止 root
用户登录,修改默认端口;修改默认密码,新密码最少8位,且包含大小写字母、数字、特殊字符。并检查是否使用了文中提到的弱密码。若使用了弱密码,也需要修改密码,加强安全性。普通用户则需要选择可靠的安全防护产品,对数据安全进行保护。

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
SSH暴力破解攻击遍布全球,看看你中招了吗?

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图