Reaper的出現

　　2017年10月，一個全新的、大規模的物聯網(IoT)僵尸網絡正快速發展并可能搞垮互聯網，其代號為“Reaper”。該僵尸網絡正快速發展壯大，主要由無線網絡攝像頭和網絡視頻監控設備等之類的物聯網設備組成，其發展速度遠遠超過了2016年的Mirai僵尸網絡，后者曾感染了超過全球范圍內的一百多萬個物聯網設備。根據奇虎360 Netlab安全研究人員的跟蹤研究，目前已經有大約3萬個智能設備確定被感染了，另外還有大約200萬個物聯網設備處于潛在的威脅中。

　　Reaper之所以傳播如此迅速是有其獨特手段的，Mirai只是利用了弱密碼和默認密碼，而Reaper則不同，該僵尸網絡則同時利用了不同的物聯網設備的數十個oday和1day漏洞，這些設備包括D-Link，Wi-Fi CAM，JAWS，Netgear，Linksys，AVTECH等。

　　各種各樣的0Day和1day漏洞

　　目前在漏洞市場里交易的，都是已經通過各種途徑被曝光的漏洞，業內稱為1Day漏洞。市場所做的就是保證漏洞的規范性和正確性，讓購買者可以直接使用。而具有巨大威力的0Day漏洞（未被公開曝光的漏洞），目前還不可以在市場內交易。

　　不過，千萬不要小看1Day漏洞，很多漏洞雖然已經曝光了數年，都稱得上是“N”Day漏洞，但是由于用戶缺乏安全意識，沒有更換設備或者安裝官方的更新，黑產從業者仍然可以輕松地利用這樣的漏洞賺錢。

　　黑色產業玩的是概率，一個漏洞，只要有相當一部分比例的用戶沒有修復，對他們來講就是能賺錢的。與其期望發現一個0Day漏洞，黑產從業者會現實地選擇研究怎樣提高一個1Day漏洞的命中率。

　　形象地來講，1Day漏洞就像子彈，而0Day漏洞就像原子彈。雖然原子彈的威力巨大，但是一般人無法獲得，更多的犯罪是通過子彈來實現的。雖然物聯網開發者可以輕松快速地修復漏洞并更新其設備，但即使開發者發布了指定的補丁，這都沒有用。

　　安全專家曾多次發出警告，一些與互聯網連接的冰箱、電水壺、電燈泡，隨著路由器和攝像機的日益脆弱，都將被掃描并收編形成新的僵尸網絡。如果這件事發生的話，這應該是毀滅性的，這并不令人驚訝，因為許多物聯網設備制造商在出售他們閃亮的新產品之前很少關心安全問題。

　　Reaper可以利用各種各樣的漏洞，其中有些是在2013年就向公眾披露了：

　　1.Linksys E1500/E2500中的漏洞

　　2.D-Link DIR-600和DIR-300中的漏洞（rev B)

檢查D-link路由器型號的代碼片段（95b448bdf6b6c97a33e1d1dbe41678eb）

　　雖然它們中的大多數已經被開發者關閉了，盡管如此，許多設備的固件還沒有被更新，仍然有可能被利用。最近，研究人員還發現Reaper也可以利用2017年3月發現的無線網絡攝像機（P2P）WIFICAM的漏洞。

　　安全公司Embedi發現，Reaper所能利用的安全漏洞此前都已經分配了CWE編號。下圖顯示的是這些CWE漏洞以及存在相同類型漏洞設備之間的相關性：

　　根據圖表上的漏洞類型，很明顯它們都屬于應用安全。換句話說，所使用的安全開發生命周期的措施要么不充分，要么根本就沒有實施，導致僵尸網絡大量涌現。即使開發人員在開發可靠的代碼并進行多重加密機制的情況下，也不能應付應用程序安全性的問題。

　　不過桌面軟件的漏洞利用就很少了，由于各種操作系統的安全機制，這些漏洞很少發生，并且不易被利用。原因很清楚，那就是物聯網設備的開發人員并不會過多地去參考同行現有的經驗和資源，但對于惡意軟件的開發者來說，情況就恰恰相反了。比如說，Reaper僵尸網絡就配備了Lua解釋器，這樣就可以迅速擴展Reaper惡意軟件的功能了。

Reaper樣本中的SMPT的Lua腳本片段（ca92a3b74a65ce06035fcc280740daf6）

　　另一個樣本是Satori ， Satori是一個基于Mirai源代碼的僵尸網絡。這兩個僵尸網絡之間的主要區別在于，Satori使用了一種改進版的傳播方法，并且還增加了針對華為HG532型號路由器的0 day漏洞利用代碼。根據The Hacker News的報道，目前大約有二十多萬臺設備已經被成功感染了，除此之外，漏洞利用代碼以及Mirai僵尸網絡的源代碼都是可以直接從網絡上公開獲取的。

　　顯而易見，要創建這樣的僵尸網絡，需要在廣泛傳播的設備中找到0Day或1Day漏洞。由于大多數設備的應用程序安全性非常差，攻擊者可以很容易找到新的0Day，并將其添加到已經存在的僵尸網絡中。如果一個開發者沒有提高應用程序的安全性，數十萬個設備可以瞬間被感染。

　　這意味著，未來針對物聯網設備的僵尸網絡攻擊環境可能就會是如下這樣的了。

　　不過要注意的是，最初Mirai的出現，最初只是為了對商業競爭對手的服務器進行DDoS攻擊，而Reaper幕后的開發團隊顯然更有經驗且技高一籌。

　　專家表示：

　　“為了阻止這個僵尸網絡的傳播，所有公司和消費者都應該確保他們的設備運行最新的固件版本，及時更新安全補丁。與此同時，每個人都需要為此做最壞的打算，因為目前還不清楚犯罪者的動機是否什么?針對經濟犯罪還是針對特定的國家或品牌企業?”

　　Reaper可以利用的漏洞

　　D-Link 850L漏洞：

　　1.通過WAN和LAN遠程執行代碼（CWE-284）；

　　2.通過WAN和LAN在未經身份驗證的情況下遠程獲取信息（CWE-200）；

　　3.通過LAN以管理員權限在未經授權的情況下遠程運行任意軟件（CWE-284）。

　　無線網絡攝像機（P2P）WIFICAM漏洞：

　　1.通過Telnet訪問管理員賬號 （CWE-798）；

　　2.獲取存儲在固件中的RSA證書以及私鑰（CWE-321）；

　　3.使用管理員權限實現遠程代碼執行（CWE-78）；

　　4.HTTP服務器的漏洞使得攻擊者可以通過發送一個空的登錄參數到系統來避開驗證，并將空的loginpas參數傳遞給URL（CWE-693）；

　　5.將HTTP服務器漏洞與遠程代碼執行結合在一起，這樣攻擊者在管理員帳戶未通過本地網絡或網絡 (CWE-284, CWE-78)進行身份驗證之前實施遠程代碼執行。

　　6.在未經RTSP服務器驗證的情況下對數據流進行監控（CWE-287）；

　　7.在tcpdump工具的幫助下對流量數據繼續監控（CWE-200）。

　　DVR漏洞：

　　1.默認用戶名和密碼均為空 （CWE-521）；

　　2.未對cookie內容進行驗證，將允許攻擊者繞過Web認證（CWE-565）；

　　3.攻擊者可以打開uboot控制臺，并將設備切換到單用戶模式，并在未經認證的情況下執行任意命令（CWE-284）；

　　4.通過使用內置的Shell，未經認證的攻擊者可以使用Telnet （CWE-553）；

　　Netgear路由器漏洞：遠程代碼執行可以在無需用戶身份驗證的情況下，借助命令提示符（CWE-78）。

　　Vacron監控攝像機漏洞：board.cgi中沒有對輸入命令的過濾，可以運行cmd并執行任何命令（CWE-78）。

　　Netgear DGN1000和DGN2200 v1路由器漏洞：內置Web服務器不會對包含了?currentsetting.htm? 的URL進行驗證，攻擊者可以利用該漏洞繞過服務器的驗證機制并在設備上使用管理員權限執行任意代碼（CWE-20）。

　　Linksys E1500/E2500路由器漏洞

　　1.ping_size參數可以不經過安全驗證，這樣攻擊者就可以輸入和執行任意的shell命令（CWE-78）；

　　2.攻擊者可以在用戶不知情的情況下更改當前密碼（CWE-620）。

　　D-Link DIR-600和DIR-300漏洞

　　1.在命令提示符下沒有訪問限制和輸入驗證，允許攻擊者輸入和執行任意命令。例如，運行telnetd（CWE-78）；

　　2.攻擊者可以更改設置的密碼，即使它是未知的(CWE-620)；

　　3.密碼沒有經過哈希并以純文本形式存儲（CWE-256）；

　　4.未經授權的情況下，攻擊者就可以訪問有關設備型號名稱，固件版本，語言和MAC地址以及Linux內核（CWE-200）；

　　5.訪問有關操作系統及其位置的信息（CWE-200）；

　　6.在SSID參數中沒有驗證輸入命令，如果攻擊者試圖訪問version.txt文件時，則會運行輸入代碼，此時認證不是必需的（CWE-79）。

　　Avtech監控攝像機漏洞：

　　1.密碼存儲在一個文本文件中，如果可以訪問設備，則還可以訪問密碼（CWE-256）；

　　2.Web界面沒有CSRF攻擊保護（CWE-352）；

　　3.CGI腳本可以在沒有驗證的情況下在“/cgi-bin/nobody”文件夾中獲得（CWE-200）；

　　4.在DVR設備上未經授權的SSRF(授予連接到本地網絡的IP攝像頭)，可以通過修改參數ip，port和queryb64str，讓攻擊者可以通過DVR設備執行任意的HTTP請求（CWE-918）；

　　5.在DVR設備上未經授權的命令輸入，Search.cgi不會檢查接收到的參數，攻擊者可以使用它來執行遠程代碼執行（CWE-78）；

　　6.通過在URL請求中添加“.cab”或“/nobody” 繞過驗證（CWE-287）；

　　7.從目錄的根目錄中非法加載文件(CWE-22)；

　　8.輸入“login = quick”參數繞過驗證碼驗證（CWE-693）；

　　9.exefile參數不會被檢測，因此，攻擊者可以使用管理員權限執行任意系統命令（CWE-78）；

　　10.DoShellCmd函數參數不會被檢測，攻擊者可以使用管理員權限執行任意系統命令（CWE-78）；

　　11.PwdGrp.cgi會使用用戶名、密碼和一個組的參數來創建或修改系統命令中的用戶，而不被檢測（CWE-78）。

責任編輯：韓希宇