這句話可能有點繞,一個利用物聯網設備的弱密碼來打造殭屍網絡的背後組織,在自家的數據庫上又用了弱密碼,結果被安全研究人員發現了……
這事說起來有點搞笑,卻是最近真實發生的事情。
我們來看看青天科技(NewSky Security)的投稿。
Owari 的 MySQL 數據庫
講 Owari 這個物聯網殭屍網絡,就得先說說 Mirai 這個物聯網殭屍網絡的老祖宗。Mirai 的數據庫是 MySQL 的,裡面有三張表:用戶、歷史和白名單。好多 Mirai 的後代都開拓了新的方式,不過數據庫這塊還是用老祖宗的多,Owari 也是這麼個好孩紙。
我們的某個蜜罐某天受到一個來自80(.)211(.)232(.)43這個IP的攻擊,命令是/bin/busybox OWARI post successful login。我們發現發過來的載荷代碼裡面想搞一下post 下載。
出於黑客的直覺我們自然去看了看對方的IP,然後發現他們開著3306口,配置MySQL也不改個缺省端口,鄙視一下。
我們就跑去試了一下對方的密碼,結果發現:全世界人民都知道啊!
用戶名: root
密碼: root
數據庫裡那點事兒
既然門都沒關我們就進去瞅了瞅。
用戶表裡面是一幫控制這個殭屍網絡的用戶名和密碼。有些應該是作者,還有一些是客戶,也叫黑箱用戶,就是交錢,然後打流量。除了密碼,還有能用多久,用多少殭屍,如果是-1就是全軍都能用,以及冷卻時間,就是打過以後要休息多久的意思。
在這個 Owari 的例子裡面,我們找到一個用戶的時間是 3600 秒,也就是一小時,而且殭屍總量是-1,大客戶啊。注意這裡用戶密碼也是明文的,再鄙視一次。
在歷史記錄表裡面,我們找到了歷史攻擊IP記錄。好多IP地址都沒啥關聯,我們猜測,是因為他們在打對手的殭屍網絡,黑吃黑的意思。
白名單表居然是空的,說明這個殭屍網絡胃口很好逮誰打誰。
而且這個還不是孤例,另外一個IP(80.211.45.89)也是一樣的root:root登錄。
商業模式瞭解一下
Owari 的代碼已經在暗網上面洩露了,所以很難找到原作者。不過我們還是找到了一位代號“疤臉”的殭屍網絡操控者,讓 TA 講解一下攻擊事件,冷卻時間和 Owari 網絡的使用價格。
“一般我每個月收費是 60 美元,提供 600 秒的服務。這個價位跟同行比不算高的。不過只有這種方法我才能保證殭屍設備的數量。我不能讓十來個用戶每個人都跑 1800 秒。我一般不讓設備冷卻。如果要冷卻時間,我一般會設置成最多 60 秒。一個用戶每月 60 每月不算多,不過每月有 10 個到 15 個用戶的話,我平時的網絡費用就夠用了” -疤臉
後來
或許大家以為一旦拿到 MySQL 數據庫的改寫權限,就能刪除數據來把殭屍網絡給搞掉。可惜事情沒有這麼簡單,因為殭屍網絡控制服務器 CnC 的 IP 地址很快就會失效(平均有效期是一週)。殭屍網絡的控制者知道自己的 IP 地址很快就會被標記為惡意,因為流量太差了。所以,他們經常會主動的改變IP來躲開監控。我們文中提到的兩個 IP 地址都已經下線了。
原文地址:你看看你自己的弱密碼。你們也好意思說自己是黑客?
閱讀更多網絡安全信息?歡迎關注雷鋒網旗下微信公眾號“宅客頻道”(微信ID:letshome),重要的事情說三遍,雷鋒網、雷鋒網、雷鋒網。
閱讀更多 雷鋒網 的文章
