BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

替换钱包地址:攫取挖矿机器算力新思路!

| 作者 雨多田光 关注 9 他的粉丝 发布于 2018年1月30日. 估计阅读时间: 12 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!

1月22日,360召开了一个小型的媒体沟通会,会上360安全专家李丰沛针对360网络安全研究院近期发现的新型僵尸网络Satori.Coin.Robber进行介绍。

2017年下半年,数字代币让投资者陷入痴狂,而背后产生数字代币的“挖矿机制”面临的安全问题也牵动着安全人员与矿主的心。挖矿是定义在区块链整个运作机制上的一个技术环节,它是通过一系列复杂的计算,产生代币进行交易的一种机制。作为一种互联网理论或者技术,对于黑客来说就是有机可乘的,此次360发现的Satori.Coin.Robber正是基于挖矿机制的入侵方式。

僵尸网络Satori.Coin.Robber

Satori.Coin.Robber通过利用开放了3333端口管理、但没有设置远程登录密码的 Claymore Miner挖矿设备,进行远程登录,并将其电子钱包地址更改为入侵者设置的地址,这样挖出的ETH代币将自动被侵入者账户“收入囊中”。

李丰沛作了一个有趣的比喻:“好比原先是直接抢钱的,这回Satori.Coin.Robber把商户的收费二维码变成自己,回头别人付费的时候钱就直接流到自己的口袋了。”

虽然截至360于2018年1月17日发布报告《偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币》,该僵尸网络病毒仅仅感染了4.79K台挖矿设备(绝大部分发生在韩国),攻击者一共才拿到1枚ETH代币,危害并不是很严重,但是这次的发现有它值得关注的地方:这是一种入侵挖矿机制,攫取矿机算力的新思路——在这之前,360还没发现僵尸网络病毒替换挖矿设备钱包地址的攻击方式。

而这也给安全人员留下了一道难题:即使安全社区后续接管了 Satori.Coin.Robber 的上游控制服务器,那些已经被篡改了钱包地址的挖矿设备,也会继续为错误的钱包地址提供算力。李丰沛表示,想要将被篡改的地址调整回来是一件麻烦的事情,一方面该地址只有设备主自己知道,并且调整地址这个操作也只有他本人可以进行,所以当下能够给出的解决方案思路是矿主自行查验设备状态。

Mirai >>> Satori >>> Satori.Coin.Robber

李丰沛介绍,Satori.Coin.Robber原型最早应该追溯到2016年搞得人心惶惶的Mirai僵尸网络。Mirai通过感染存在漏洞的IoT设备,并下载Telnet扫描其它潜在Mirai僵尸宿主机,将其感染,连结成网,在需要时对目标系统发起攻击。在8月份被发现之后,Mirai在接下来几个月内,先后进行DDoS导致了10月份美国的大断网、11月份德国断网,还对利比亚、英国等地区进行大规模攻击。

同时Mirai作者将其源码公布,这使得更多人可以更加方便地对该病毒进行变种创作,而Satori便是其中的“佼佼者”。它与Mirai及之前的所有Mirai变种都不相同,它不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入,而是自身拥有了扫描能力,同时利用IoT设备分别工作在37215与52869端口的两个新漏洞,尝试与主机进行连接,这也就是为什么Satori被称为物联网蠕虫。它的威力巨大,“从观测到的数据看,它在12个小时内感染了超过26万台设备,这已经足以发起上T甚至更高数量级的DDoS攻击”,李丰沛解释到。

而此次360报告的Satori.Coin.Robber则更进一步,它是基于Satori的变种。Satori.Coin.Robber保留了Satori的功能,并且增加了上文介绍的修改ETH币挖矿设备钱包地址的能力。

疑似与作者Twitter上进行互动

首先,通过分析,360网络安全研究院认为此次发现的Satori.Coin.Robber与原始的Satori是同一作者所为。“它们有一些共同特征,其中有一个对二进制的UPX加壳,使用了一个随机数作为加壳的钥匙”,李丰沛解释,“这两个版本的病毒,它们的随机数竟然是一模一样的。一般这个证据就已经很铁了,再加上其它辅助的周边证据,所以我们认为它们应该是同一个人或者同一伙人做的。”

“在跟进Satori.Coin.Robber的时候,发生了一件有意思的事情”,李丰沛介绍,他们在发布的报告中,附上了一段Satori.Coin.Robber作者写在控制服务器端的信息,原文如下:

Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net

该信息让看到的人不要害怕,表示该Satori变种没有恶意打包、发包功能,也就是说不会发生DDoS,然后留下一个邮箱curtain@riseup.net,说有问题可以联系他。

“我们发布报告之后,在Twitter上转发了相关内容,之后Twitter上有一个发了一个他与PC Magazine记者邮件通信的截图,并且@了我们,说‘你看吧,都是因为你们,现在搞得媒体开始发邮件问我这到底是怎么回事了’。同时也有号称是PC Magazine的媒体记者发邮件给我,询问相关信息。”

一方面,病毒作者留下的curtain@riseup.net这个邮箱地址是内嵌在控制服务器与客户端之间的网络协议上的,当客户端访问服务器的IP地址时,DNS会进行反馈,返回作者留下的那段信息,而邮箱地址就在这段信息中。所以它不是显式的,不是轻易可以获得的;另一方面,看到curtain@riseup.net与报告里面提到的邮件地址一致,并且看到PC Magazine记者发的邮件格式、内容、风格与发到360的是一样的。基于这几点,李丰沛认为这张Twitter的图片不是伪造的,于是暂时认定Twitter上这个user_73613便是Satori与Satori.Coin.Robber的作者

我们离下一次互联网大瘫痪,只差一个0day的距离

前边说到Satori针对IoT设备的两个漏洞进行利用,其实具体是指国内某厂商的某款路由器的漏洞。Satori的感染速度为什么会那么快?360网络安全研究院认为这主要是因为当时这款路由器的铺货量非常大,并且又是很多年前的版本,很多用户没有升级到最新版本,所以导致了Satori的肆虐。

说到利用路由器漏洞进行攻击,李丰沛联想起BrickerBot病毒。BrickerBot暴力破解物联网设备的用户名与密码,进而获得控制权限,它并不是把物联网上的设备变成“僵尸机”,进而去执行某些操作,而是直接让它们失去功能,变成“砖”。

“安全社区里关于这个东西的讨论有很多,一个重要的讨论点是作者到底为什么要做这个事情。有人说其实他是一个白帽子,希望通过让用户的设备变砖这种极端的手段,让用户意识到设备有问题,最终把设备打上补丁”,李丰沛介绍,“在疑似BrickerBot作者发布的文章中,作者说自己的初衷是好的,希望能通过自己的行动,使得供应链、消费者和整个监管机构都能够重视IoT的安全问题。”

这位疑似BrickerBot作者还解释称2017年1月份,轰动一时的华盛顿特区部分摄像头变砖这件事是他干的; 8月份,他在分析CVE-2017-7921漏洞时,发现海康威视有一个0day,花了3周时间攻陷了大约100万台摄像头;还称IoTReaper感染的主机有一、两百万台是完全不值一提的。种种攻击,如果稍不留意,都将给整个互联网带来足够致命的危害。

“他有一个比较重要的观点:我们离下一次互联网大瘫痪只差1个或者2个0day漏洞”,李丰沛说,“所以他声称自己所做的一切都是在为了使整个安全产业链关注网络安全。”上一次的互联网大灾难是指2016年10月21日美国大规模断网,超半数人无法上网。

而Satori事件,尽管只是利用了一个0day漏洞,就造成了那么严重的影响,疑似BrickerBot作者的这个人说这再次印证了他的担忧:我们离互联网的下一次大面积故障也就是1个或者2个0day的距离了。

那怎么办?合作!

在信息安全领域,没有哪家公司敢宣称他们完全掌握了从物理到通信到网络,从PC到移动到IoT,从二进制到网络等环节的全命脉。只有合作,才有可能让整个世界在高度不确定的网络环境下正常运作

李丰沛认为让各厂商进行合作其实是挺不容易的。一方面是意识层面上,可能在整个安全链上,前端受到的攻击已经很严重了,势态很危急,但是有时候后端是感知不到这个压力的,具体到一些提供服务的公司,他们根本没有安全意识,这个问题当下还是十分普遍的。

另一方面是利益层面,不同厂商有自己的利益所在,那么在做交流的时候,由于并不是基于共同利益,或者说共同利益极少,那么技术上并不会毫无保留地去分享,传递的信息就会有偏差。举个简单的例子,如果路由器的漏洞已经被利用得很严重了,但是专业安全公司在分析得出相关报告之后并不知会该路由器厂商,那么安全问题只会越来越严重。

但是大家还是需要合作,并且不断去完善合作机制。”

李丰沛介绍,在发现Satori之后,他们首先做的事情就是把相关的信息通报给存在问题的路由器的生产商,并且在报告中也没有具体指明该厂商。

他还介绍:“Satori的感染速度非常之快,而Satori.Coin.Robber却显得很慢,它们感染速度差距非常大。并且,如果你现在去网上扫描37215或者52869端口的话,已经得不到太多有效的反馈信息了。这意味着什么呢?这说明也许还会有设备没有打上补丁,存在这个漏洞,但是在网络层面,很多ISP一起合作,封掉了有问题的端口,使得Satori.Coin.Robber主要只能在3333这个端口上发作。这就是合作。”

用户防御措施

针对此次发现的Satori.Coin.Robber,李丰沛也介绍了相应的防御措施:

  • 把矿机升级到最新版本,同时该设密码的地方记得设置密码。
  • 在360发布的相关文档中有具体罗列出一些受到影响的设备型号,可以参考进行维护。

关于Satori.Coin.Robber的具体信息可以查看360网络安全研究院的报告

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT