网络犯罪分子利用数万不安全的家庭路由器为实施DDoS攻击创建了大批僵尸。
网站安全公司Incapsula的一项调查显示,在121天内针对公司60个客户的恶意流量来自109个国家爱1600个互联网服务提供商的40,269个IP地址。僵尸主要基于ARM的优博通设备,因此安全研究人员认为网络犯罪分子利用了固件中的漏洞。
攻陷路由器只需吹灰之力
然而,研究人员的上述结论在进一步的检查后被推翻,因为所有人都可以通过HTTP及SSH远程访问默认端口,这也就是说为远程攻击开了后门。
僵尸操控者想要入侵并不需耗费太多力气,因为几乎所有的路由器都是通过供应商提供的默认凭证来保护的。研究人员表示,“这种错误做法会带来麻烦。比如窃听所有通信、执行中间人攻击(例如DNS污染)、劫持cookies、获得对本地网络设备的访问权限。”
在被攻陷设备上发现的多数流行恶意软件是Mr. Black即拒绝服务僵尸Spike。86.5%的设备均出现了该问题。
AnonOps通过被攻陷路由器部署DDoS
根据研究结果来看,多个个人或组织利用了设备的不安全性,因为Incapsula还发现了其他DoS工具包如Dofloo及Mayday,尽管比例很小分别为5.48%及2.84%。
Incapsula发现了60台命令及控制服务器,其中73%位于中国,21%在美国运行。从被控制路由器的地理位置来看,多数来自巴西(64%)及泰国(21%)。
从对DoS样本的分析来看,安全研究人员认为利用路由器攻击在线目标的其中一个阻止时匿名者黑客运动的一部分,因为该恶意软件会向AnonOps IRC渠道汇报。僵尸网络操控者的活动很有效,同时被攻陷设备中的恶意代码可以扫描网络以发现其他可通过带有默认凭证的SSH端口访问。 Incapsula指出“蜥蜴队”黑客组织可将这些僵尸网络用于其DDoS服务Lizard Stresser中。
虽然Incapsula将路由器的不安全性通知给优博通及其他相关互联网提供商,但用户也应该禁用对设备的远程访问并更改默认登录凭证以阻止未经授权的访问。