预警：新型物联网僵尸网络“风暴”来袭

10月21日讯 Check Point发布研究报告警告称，新一波物联网僵尸网络“风暴”来袭。Check Point提炼的研究结果如下：

• 一个庞大的僵尸网络正掀起一场让互联网瘫痪的“网络风暴”。

• 预计上百万家企业已遭遇感染。

  
  
  

新型僵尸网络正在“物色”物联网攻击目标

这个新型僵尸网络正在“物色”物联网设备实施攻击，例如无线网络摄像头。

Check Point研究人员称发现一个新型僵尸网络正以相当快的速度“物色”物联网设备，其潜在破坏力比Mirai更甚。

物联网僵尸网络是联网智能设备组成的僵尸网络，威胁攻击者通过远程控制实施攻击。近几年，几起最具破坏性的物联网僵尸网络攻击将目标对准全球的组织机构，包括医院、交通枢纽、通信公司和政治运动。

黑客善利用无线物联网设备中的漏洞

9月底Check Point入侵防御系统（IPS）发现，黑客不断尝试利用各种物联网设备中的漏洞。

Check Point发现的恶意软件每天都在不断利用无线网络摄像头设备的漏洞，例如GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys、Synology。多次攻击企图来自不同的源头和各种物联网设备，这就意味着这起攻击通过物联网设备传播。

据研究人员估计，全球超过一百万家企业已经受到影响，包括美国、澳大利亚。研究人员指出，研究表明全球正经历着大风暴前的平静，并称下一场“网络飓风”即将登陆。

Check Point全球威胁地图显示，物联网入侵防御系统上出现大量攻击企图。为了深入了解情况，研究人员便开始调查攻击来源。下图为研究人员对其中一台设备的分析：

通过Shodan，研究人员发现一个GoAhead摄像头（通过TCP运行开放端口81）的IP地址。这仅仅只是其中一类遭遇感染的设备，此外还包括D-Link、NETGEAR、TP-Link等设备。

研究人员进一步研究后发现，这台设备的System.ini文件用来检查攻击情况。这个文件在正常的设备会包含用户凭证，但这台设备上还存在编辑过的“Netcat”命令，其打开了这个攻击IP地址的逆向Shell。这就说明，这台设备只是链条中的一个环节，自己遭遇感染后还会继续传播感染。在这个案例中，攻击者利用“CVE-2017-8225”漏洞渗透GoAhead设备，感染目标设备后，目标设备又会开始寻找感染目标。

研究人员进一步研究后发还发现，大量设备遭遇感染，此后还充当着传播主体。这些攻击来自不同的设备和多个国家，近60%的Check Point ThreatCloud公司网络受到影响。

虽然某些技术特征可能表明这个僵尸网络或许与Mirai存在关联，但研究人员表示，这是一个全新的、复杂程度更高的物联网僵尸网络。研究人员认为目前揣测威胁攻击者的意图还为时过早，但应警惕僵尸网络发起DDoS攻击，组织机构应做好充分准备以应对这类攻击。