- A+
在Mirai僵尸网络出现近一年之后,智能设备仍然面临着一连串的凭据攻击,并且使用默认凭据连接到Internet的设备将在大约两分钟内被劫持。
这是SANS技术研究所成员Johannes B. Ullrich最近进行的一项实验的结果。 Ullrich购买了Anran DVR系统并将其连接到互联网上两天。 Ullrich将设备保持在默认状态,Telnet端口对外部连接开放,默认凭证完整(root / xc3511)。
研究人员记录了设备上发生的所有事情,并将DVR连接到远程控制的电源插座,每五分钟重置一次。 重置设备是必要的,因为此操作会从先前的感染中删除任何恶意软件。
实验结果:DVR每两分钟就被劫持一次
结果显示,在为期两天的实验中,有10,143名“用户”从1,254种不同的IP连接到该设备。
该设备保持在线45小时和42分钟,这意味着大约每两分钟,有人使用默认凭据连接到设备。
| 开始时间 | 8月24日上午11:53 |
| 时间结束 | 8月26日上午9:35 |
| 收集的数据 | 3,098 MBytes,3600万包 |
| 时间活跃 | 45小时42分钟 |
| 与DVR的总连接数 | 10143 |
| 使用“xc3511”密码进行的登录尝试次数 | 1254种不同的IP(每2分钟) |
Ullrich使用Shodan分析了IP地址,并且令人意外的是,登录源自的大多数IP都可追溯到来自TP-Link,AvTech,Synology和D-Link等供应商的其他物联网设备,这是通常的嫌疑人。来到僵尸网络炮灰。
这些设备很可能感染了物联网恶意软件。 Mirai和今天的大多数IoT恶意软件系列都包括Telnet或SSH扫描程序,它们选择随机IP地址并尝试通过Telnet或SSH登录,并附带默认凭据列表。
这种类型的自扩散机制已经使用了多年,但在使用Mirai恶意软件进行大规模DDoS攻击后,它变得非常流行。 在线发布Mirai恶意软件源代码后,Telnet和SSH扫描程序几乎变得普遍。
结果与2016年的实验相似
去年,在所有Miria驱动的DDoS攻击中,安全研究人员通过在线放置具有默认凭据的基于IP的安全摄像头进行了类似的测试。 物联网恶意软件平均在98秒(1.5分钟)内控制了摄像头。
在该实验发布近一年后,物联网设备的安全性完全没有改善,物联网恶意软件扫描程序与去年一样具有攻击性。
“这个问题不会很快消失,”Ullricht总结道。 “如果人们还没有听说过易受攻击的DVR和默认密码,那么他们也不会阅读这篇文章。”
在上周安全研究人员发现包含数千个完全正常工作的Telnet凭证的Pastebin列表之后,Ulbricht的实验紧随另一个物联网安全问题之后。
来源:HTTPS://www.bleepingcomputer.com/news/security/it-still-takes-2-minutes-to-have-vulnerable-iot-devices-compromised-online/
