你看看你自己的弱密码。你们也好意思说自己是黑客?

你看看你自己的弱密码。你们也好意思说自己是黑客?

我们的安全研究员最近发现了一个挺搞笑的事情:就是Owari这个利用物联网设备的弱密码来攻击它们的僵尸网络自己的数据库也是用的弱密码。听起来有点绕对不对?且待我慢慢道来。

Owari的MySQL数据库

讲Owari这个物联网僵尸网络,就得先说说Mirai这个物联网僵尸网络的老祖宗。Mirai的数据库是MySQL的,里面有三张表:用户,历史和白名单。好多Mirai的后代都开拓了新的方式,不过数据库这块还是用老祖宗的多,Owari也是这么个好孩纸。

我们的某个蜜罐某天受到一个来自80(.)211(.)232(.)43这个IP的攻击,命令是/bin/busybox OWARI post successful login。我们发现发过来的载荷代码里面想搞一下post 下载。

出于黑客的直觉我们自然去看了看对方的IP,然后发现他们开着3306口,配置MySQL也不改个缺省端口,鄙视一下。

配置MySQL的图片

我们就跑去试了一下对方的密码,结果发现:全世界人民都知道啊!

用户名: root
密码: root

数据库里那点事儿

既然门都没关我们就进去瞅了瞅。用户表里面是一帮控制这个僵尸网络的人的用户名和密码。有些应该是作者,还有一些是客户,也叫黑箱用户,就是交钱然后打流量。除了密码还有能用多久,用多少僵尸,如果是-1就是全军都能用,以及冷却时间,就是打过以后要休息多久的意思。

我们发现的这个Owari的例子里面,我们找到一个用户的时间是3600秒也就是一小时而且僵尸总量是-1,大客户啊。注意这里用户密码也是明文的,再鄙视一次。

用户的时间是3600秒

在历史记录表里面,我们找到了历史攻击IP记录。好多IP地址都没啥关联,我们猜测是因为他们在打对手的僵尸网络,黑吃黑的意思。

用户的时间是3600秒

白名单表居然是空的,说明这个僵尸网络胃口很好逮谁打谁。

用户的时间是3600秒

而且这个还不是孤例,另外一个IP(80.211.45.89)也是一样的root:root登录。

商业模式了解一下

Owari的代码已经在暗网上面泄露了,所以很难找到原作者。不过我们还是找到了一位代号“疤脸”的僵尸网络操控者,让TA讲解一下攻击事件,冷却时间和Owari网络的使用价格。

“一般我每个月收费是60美元,提供600秒的服务。这个价位跟同行比不算高的。不过只有这种方法我才能保证僵尸设备的数量。我不能让十来个用户每个人都跑1800秒。我一般不让设备冷却。如果要冷却时间,我一般会设置成最多60秒。一个用户每月60每月不算多,不过每月有10个到15个用户的话,我平时的网络费用就够用了” -疤脸

善后

或许大家以为一旦拿到MySQL数据库的改写权限,就能删除数据来把僵尸网络给搞掉。可惜事情没有这么简单,因为僵尸网络控制服务器CnC的IP地址很快就会失效(平均有效期是一周)。僵尸网络的控制者知道自己的IP地址很快就会被标记为恶意,因为流量太差了。所以他们经常会主动的改变IP来躲开监控。我们文中提到的两个IP地址都已经下线了。青天科技IoT HALO可以帮助大家挡住Owari僵尸网络的进攻。


本文由青天科技(NewSky Security )Ankit Anubhav原创,李嵩翻译。转载请联系授权,并保留出处与链接,不得删减内容。联系方式: info@newskysecurity.com

青天科技(NewSky Security),是一家总部位于厦门,在美国西雅图设有研究中心的物联网安全解决方案供应商,致力于同企业一起解决黑客攻击、恶意软件感染、信息泄露、DDoS 攻击等安全威胁,专注于物联网智能终端传输和云的信息安全,提供实时的网络行为监控,依托大数据分析和机器学习技术,可对智能终端的网络行为进行深入挖掘、分析和建模。

欢迎登录青天科技门户网站 cn.newskysecurity.com 查看更多精彩内容。

关注青天科技微信号

青天科技微信号

上篇说说加密货币黑客那些事儿(上)|【李嵩的福布斯文章】
下篇新加坡电信员工这个失误导致1000台路由器暴露,容易被黑