2019年05月08日 | 僵尸网络入侵对物联网安全的影响

黑客在侵入到计算机或计算机系统后，可以对受害者进行监控，窃取受害者的数据作为要挟以索取赎金，或者可能恐吓受害者下载危险软件。黑客还可以将被入侵的服务器变成可以稍后访问并激活的僵尸机器人（bot），将许多这样的僵尸机器人连接在一起将给黑客提供一个“僵尸网络（botnet）” ，实际上是一组被黑客入侵的服务器。僵尸网络非常适合执行强力任务，譬如攻击更多目标并随后将其变成僵尸，或通过发起分布式拒绝服务（DDoS）攻击来阻止系统请求，以最终达到阻止合法使用目的。

DDoS是现有的最受黑客欢迎和最具破坏性的网络武器之一，已经导致占据了大约三分之一的IT停机时间。由于业务交易失败、数据丢失和系统修复导致收入不足，以及对品牌信任度的影响，这类攻击每年造成数十亿美元的损失。对服务提供商和主要企业的DDoS攻击非常频繁，并且通常大规模实施，它们有可能危及依赖服务提供商进行数据管理的每个商业和政府实体。

僵尸网络就像臭虫一样难以根除。来自许多不同“僵尸机器人”的服务器请求可以帮助DDoS攻击混入日常合法流量，从而延迟检测和响应时间。由于攻击者使用代理网络来隐藏其命令和控制服务器的位置，因此很难识别僵尸网络或跟踪其活动。此外，如果指向僵尸网络的命令和控制服务器托管在不遵守删除（takedown）请求的提供商上，即使它们被捕获，也将继续存在。那该怎么办？

僵尸网络的历史

第一次僵尸网络攻击发生在2001年，当时仅涉及发送垃圾邮件。从那时起，僵尸网络的攻击随着复杂程度的提高而变得多样化。 2012年，6家美国银行（包括美国银行、摩根大通和花旗集团）遭到60Gbps速度同时的多种方式僵尸网络攻击。两年后，对PopVote（一个同情香港民主基层运动的网站）的攻击包括五个僵尸网络，最高流量达到500Gbps。最近引人注目的攻击包括针对万豪（Marriott） 和 WordPress，但迄今为止最大和最臭名昭着的僵尸网络事件是2016年的Mirai，这次攻击展示出连接设备或物联网（IoT）如何被用作网络攻击武器。

Mirai由一名大学本科生和Minecraft爱好者Paras Jha共同创建，他希望通过使用DDoS攻击来暂时击败竞争对手的主机，从而通过支持Minecraft游戏而获利。它以简单但巧妙的方式利用了不安全的物联网设备，其方法不是跟踪物联网中的小设备，而是扫描互联网的较大区域，以便找出使用出厂默认用户名/密码的设备来打开Telnet端口。结果，它成功俘获了一大批性能受损的闭路电视摄像头和路由器。

首先，Jha和他的同伙确定了法国电信主机OVH为目标，OVH也承载Minecraft游戏，通过以创纪录的1.5Tbps流量进行攻击。接下来，他们导引150多万台联网摄像头击跨了一个著名的网络安全博客，随后其发布的Mirai源代码能够有效地使任何人构建自己的僵尸网络。最终得以1.2Tbps的速度发生了对Dyn的重大攻击，迫使暂时关闭对Twitter、Netflix、Spotify、Box、itHub、Airbnb、SoundCloud和许多其他网站的访问。

即使在Jha及其同伙被捕和判刑后，Mirai仍然在整个网络上造成许多问题。例如，近百万德国电信客户和数千台英国路由器后来都受到影响，各种型号索尼相机被发现易受Mirai攻击的影响。此外，虽然Mirai不是特别新颖，但它非常灵活，且适应性强，因此黑客可以通过改变已发布的源代码在新的物联网设备开始出现时进行攻击。最近的Satori 和 Reaper僵尸网络据信都是Mirai的后代。

图1：受Mirai 僵尸网络攻击最严重的区域。

深刻教训

在此之后，身份和漏洞管理公司BeyondTrust技术副总裁Morey Haber等一些安全专家主张实施更强的法律，以便在物联网设备生产和运往海外之前来保护这些设备，从而能够加强国际合作。然而，像网络安全公司Sophos的首席研究科学家Chester Wisniewski等其他专家认为，此类立法不足以阻止未来僵尸网络事件的发生。两个阵营都在推动确定最低安全标准和最佳实践（例如不断的系统修补，针对物联网设备的密码循环和限制特权等），以提高系统安全性并重新获得公众信任。同时，Dyn还建议其他公司使其互联网基础设施合作伙伴多样化，以减轻DDoS攻击的影响。最后，从类似于万豪数据库的攻击得到的相关教训是，重要数据（例如客户的护照记录）的内部加密可用于保护数据，即使在系统遭到黑客入侵后也能得到保护。

关键行业趋势及其对僵尸网络的影响

物联网是网络犯罪分子的向往之地。根据Gartner的数据，到2017年，全球有84亿个物联网节点投入运营，该分析公司预计到2020年全球物联网节点数量将达到惊人的208亿个，都可能是攻击对象。虽然多年来人们对台式机、个人电脑甚至手机都保持很高警惕，但却很少关注其他具有计算能力和互联网连接的设备，如家用路由器、安全摄像头、婴儿监视器等。面对大批量、技术复杂且不断变化的DDoS威胁，原有设备上的传统防护措施非常不足，极易受到攻击。

根据2019年诺基亚威胁情报报告，2018年，物联网机器人占受感染设备的16％，比2017年增长了3.5％。此外，在检测到的恶意软件中，78%与物联网僵尸网络有关。僵尸网络攻击可能在2019年进一步恶化，因为5G的扩展将意味着有更多不安全的设备， 包括智能家居安全系统、车辆、无人机和健康监测设备等等，这只会提高攻击的频率，降低网络犯罪分子的技术障碍。例如，一旦他们设法入侵和控制几台摄像头，就可以轻松访问该公司控制下每个家庭中的所有摄像机。这种情况在日本已经发生过，在DDoS攻击下，未经授权的一方曾经操纵了50,000台监控摄像头。

政府可以做些什么？

美国国土安全部最近的一份报告指出：“DDoS攻击的规模已经超过1Tbps，远远超过了预期的规模和容量。因此，受到这些攻击需要的恢复时间可能很长，特别是一些涉及关键任务的服务。”此外，传统的网络提供商往往通过构建多余的能力来达到缓解DDoS攻击，以减轻僵尸网络的影响，但这种技术“并非为了补救由僵尸网络引起的勒索软件或计算宣传等其他类别恶意活动而设计。”国防高级研究计划局（The Defence Advanced Research Projects Agency）正在投资可以识别僵尸网络的系统，以及可以入侵这些僵尸网络而不会破坏僵尸网络的工具。其他西方政府正在研究某些机制，一旦僵尸网络入侵网络就能将其废止。

企业可以做些什么？

诺基亚威胁情报实验室主任，2019年诺基亚威胁情报报告的主要作者Kevin McName表示：“首先，必须安全地管理设备，这其中包括软件、固件和补丁等。部署物联网的服务提供商和企业，无论规模大小，都应确保通过手管理的机制来实现这一目标，以便解决任何安全漏洞。”此外，运营商应监控其网络流量是否存在异常，并“识别其中任何行为不端以及受到损害的”物联网设备，所有这一切最好都应该通过自动、快速的响应来完成，受损设备必须与网络的其余部分隔离。此外，IoT设备必须具有安全通信，确保其中的认证、完整性和保密性。最后，根据具体业务目标，实施主动和被动DDoS部署都有其好处。

个人可以做些什么？

以下是我们大家可以采取的一些简单步骤，能够保护自己免受僵尸网络攻击。首先，您应该评估家中的物联网节点，并消除多余的节点以减小攻击面。其后，对于保留的节点，需要更改默认密码，并下载固件更新以加强保护。建议从一个知名品牌或有大量在线评论的厂商购买已经历几代的物联网设备，这些设备往往能够提供更高级别的安全性。将新设备的默认密码更改为更强大的密码，因为网络犯罪分子通常会在设备仍处于默认设置时入侵设备。如果设备具有高级的安全选项，请启用设备上这些功能。还要使IoT节点的软件保持最新，以防止潜在的漏洞。如果设备具有自动更新选项，请设置启用该选项，这样可以始终安装制造商提供的最新软件。请注意，在家庭之外也有物联网设备，因此在进行上述行动时也需要将智能手表等移动设备，甚至儿童设备考虑在内。在您连接到机场的公共Wi-Fi等不安全的网络情况下要特别注意。

总之，僵尸网络的攻击频率与任何其他形式的网络攻击类似，注定只会变得越来越多。就像我们无法完全消除流感爆发一样，因而需要注射流感疫苗，尽最大努力保护自己免受威胁。在僵尸网络攻击的情况下，我们可以共同努力，为自己提供一个更安全的网络。总的来说，无论是政府，企业还是个人都可以在抗击僵尸网络侵害方面发挥一定作用。通过实施一些现存的预防措施，希望能够将僵尸网络所造成的损害降到最低。