Gafgyt新变体威胁超3万台路由器，某国内大厂遭殃

鲸犀 · 公众号 · · 2019-11-02 10:09

正文

请到「今天看啥」查看全文

IOT设备的集体“叛变”，或许会置人于尴尬处境。比如，电影《终结者:黑暗命运》里就描述了这样的场景：

一个名为军团的人工智能防御系统被制造出来，它拥有极强的学习能力，并且控制着全球70%以上的核武和人形兵器。

很快，它通过自我进化得出一个结论——消灭人类才是终止战争的唯一办法。于是，这些究极IOT产品彻底发狂，末日之战拉开序幕。

▲《终结者：黑暗命运》中REV-9机器人正入侵军事网络

尽管不知道未来是否会有军团这样的东西存在，但现在已经有不少类似的僵尸网络，它们会进化、会想方设法操控每一台主机，打造自己的“反叛军团”。

10月31日，研究人员发布报告称，已经检测到一种最新的Gafgyt僵尸网络变体。该变体针对的是Zyxel、华为和Realtek在内的32000个小型办公室和家庭无线路由器中的缺陷，可以降低此类产品网络连接通畅性，并大幅削弱登录服务时的安全性。

Gafgyt僵尸网络“进化史”

Gafgyt于2014年首次被发现。从那时起，它就以大规模的分布式拒绝服务攻击而闻名，它的许多变体已经开始针对跨行业企业的一系列产品。

从2016年开始，网络安全公司Zingbox的研究人员就注意到，无线路由器是所有组织中最常见的IoT设备之一，并且是IoT僵尸网络的主要目标。

这期间，Gafgyt僵尸网络已经完成了多轮“进化”：

2014年8月，索尼PSN遭受来自Gafgyt家族的DDoS攻击，以至完全瘫痪，黑客组织LizardSquad声称对此次事件负责。

同年12月，LizardSquad再次利用该家族对微软Xbox Live发动DDOS攻击，致使数百万游戏玩家无法连接到游戏服务器。

2015年1月，Gafgyt家族的源代码被公开，其源码仅由一个.c文件构成，共计1600+行代码（含telnet扫描模块及弱口令字典）。

此后，各黑产从业者开始以该家族为基础开发大量变种（如Bashlite、Qbot、Tsunami等），使原本只属于LizardSquad的攻击痕迹得到隐藏。

僵尸网络攻击时，可能会降低网络和IP地址的可信度。僵尸网络利用漏洞而不是尝试通过不安全的服务登录来访问连接的设备。因此，即使企业管理员禁用了不安全的服务并使用了强大的登录凭据，僵尸网络也可以更轻松地在IoT设备中传播。

进击的Gafgyt家族新变体

最新检测到的Gafgyt变体是JenX僵尸网络的竞争对手。JenX利用远程代码执行漏洞来访问和招募僵尸网络来攻击游戏服务器（尤其是那些运行Valve Source引擎的服务器）并发起拒绝服务（DDoS）攻击。

Gafgyt使用三个“扫描程序”来尝试利用上述路由器中的已知远程代码执行攻击。这些扫描程序替代了其他物联网僵尸网络所采用的典型“字典式”攻击，这些攻击通常旨在通过不安全的服务来破坏连接的设备。

该漏洞被设计为用作二进制删除程序，根据要感染的设备类型从恶意服务器中提取相应的二进制文件。Zingbox研究人员在一篇博客文章中写到，新的Gafgyt变体可根据从口令和控制服务器收到的命令，同时执行不同类型的DDoS攻击。

这种新的Gafgyt变体针对三种无线路由器中的漏洞，其中两种与JenX相同——两者共享CVE-2017-17215（在华为HG532中）和CVE-2014-8361（在Realtek的RTL81XX芯片组中），CVE-2017-18368（在Zyxel P660HN-T1A中）则是Gafgyt的新增功能。

Zingbox威胁情报副总监Jen Miller-Osborn称，Gafgyt是根据JenX僵尸网络代码开发的，这也突出显示黑客在该范围内构建僵尸网络的兴趣。

“Gafgyt的这种演变表明，有一群人正在努力更新这些僵尸网络，他们会将最新的漏洞同步到僵尸网络之中，并以此强大其阵容。”他说道。

游戏服务器躺枪

最新的Gafgyt变体可以执行一种名为Vaf的有效载荷DDoS攻击。这可以用于攻击运行Valve Source Engine的游戏服务器，使得游戏进入宕机状态。

Valve Source Engine是运行《半条命》、《军团要塞2》等游戏的引擎，这些游戏的受众玩家已达到数百万人，一旦服务器宕机，游戏公司将面临大范围的用户投诉。