黑客靠弱密碼打造殭屍網絡,結果自己在弱密碼上翻車了

這句話可能有點繞,一個利用物聯網設備的弱密碼來打造殭屍網絡的背後組織,在自家的數據庫上又用了弱密碼,結果被安全研究人員發現了……

這事說起來有點搞笑,卻是最近真實發生的事情。

我們來看看青天科技(NewSky Security)的投稿。

Owari 的 MySQL 數據庫

講 Owari 這個物聯網殭屍網絡,就得先說說 Mirai 這個物聯網殭屍網絡的老祖宗。Mirai 的數據庫是 MySQL 的,裡面有三張表:用戶、歷史和白名單。好多 Mirai 的後代都開拓了新的方式,不過數據庫這塊還是用老祖宗的多,Owari 也是這麼個好孩紙。

我們的某個蜜罐某天受到一個來自80(.)211(.)232(.)43這個IP的攻擊,命令是/bin/busybox OWARI post successful login。我們發現發過來的載荷代碼裡面想搞一下post 下載。

出於黑客的直覺我們自然去看了看對方的IP,然後發現他們開着3306口,配置MySQL也不改個缺省端口,鄙視一下。

我們就跑去試了一下對方的密碼,結果發現:全世界人民都知道啊!

用戶名: root

密碼: root

數據庫里那點事兒

既然門都沒關我們就進去瞅了瞅。

用戶表裡面是一幫控制這個殭屍網絡的用戶名和密碼。有些應該是作者,還有一些是客戶,也叫黑箱用戶,就是交錢,然後打流量。除了密碼,還有能用多久,用多少殭屍,如果是-1就是全軍都能用,以及冷卻時間,就是打過以後要休息多久的意思。

在這個 Owari 的例子裡面,我們找到一個用戶的時間是 3600 秒,也就是一小時,而且殭屍總量是-1,大客戶啊。注意這裡用戶密碼也是明文的,再鄙視一次。

在歷史記錄表裡面,我們找到了歷史攻擊IP記錄。好多IP地址都沒啥關聯,我們猜測,是因為他們在打對手的殭屍網絡,黑吃黑的意思。

白名單表居然是空的,說明這個殭屍網絡胃口很好逮誰打誰。

而且這個還不是孤例,另外一個IP(80.211.45.89)也是一樣的root:root登錄。

商業模式了解一下

Owari 的代碼已經在暗網上面泄露了,所以很難找到原作者。不過我們還是找到了一位代號「疤臉」的殭屍網絡操控者,讓 TA 講解一下攻擊事件,冷卻時間和 Owari 網絡的使用價格。

「一般我每個月收費是 60 美元,提供 600 秒的服務。這個價位跟同行比不算高的。不過只有這種方法我才能保證殭屍設備的數量。我不能讓十來個用戶每個人都跑 1800 秒。我一般不讓設備冷卻。如果要冷卻時間,我一般會設置成最多 60 秒。一個用戶每月 60 每月不算多,不過每月有 10 個到 15 個用戶的話,我平時的網絡費用就夠用了」 -疤臉

後來

或許大家以為一旦拿到 MySQL 數據庫的改寫權限,就能刪除數據來把殭屍網絡給搞掉。可惜事情沒有這麼簡單,因為殭屍網絡控制服務器 CnC 的 IP 地址很快就會失效(平均有效期是一周)。殭屍網絡的控制者知道自己的 IP 地址很快就會被標記為惡意,因為流量太差了。所以,他們經常會主動的改變IP來躲開監控。我們文中提到的兩個 IP 地址都已經下線了。

原文地址:你看看你自己的弱密碼。你們也好意思說自己是黑客?

閱讀更多網絡安全信息?歡迎關注雷鋒網旗下微信公眾號「宅客頻道」(微信ID:letshome),重要的事情說三遍,雷鋒網、雷鋒網、雷鋒網。


想在手機閱讀更多中國內地資訊資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems