IoT僵尸网络Dofloo攻击预警报告

近期,由安天僵尸网络监控小组通过监控到互联网地下黑色产业链某个组织使用的hfs站点捕获到一批IoT(Internet of Things)设备的“肉鸡”IP数据信息,目前该批“肉鸡”数量已超40万,形成了一个庞大的DDoS botnet,预计后期将会形成比去年攻击Dyn的Mirai DDoS botnet规模还大的DDoS botnet,将严重威胁着互联网的安全,因此安天在此为您鸣起了安全预警警报!

分析介绍:

该批数据已经确定是通过相关IoT设备厂商的默认密码进行爆破而来,进而植入IoT类型的木马,进行DDoS botnet的布控。截止目前被扫描爆破的IP已超40万(仅花2天时间),而且这个数据还在持续增长,也就意味着要形成的DDoS botnet 还在肆意增长,将对互联网安全埋下了巨大安全隐患。

根据捕获的样本分析鉴定确定,被植入的木马为Dofloo家族木马。之前已经分析介绍过Dofloo的家族史,这是一个兼容Windows、Linux、IoT三大环境的DDoS botnet,因此每个C2通常拥有非常庞大的“肉鸡”群,而且可实现反射、放大等多样DDoS攻击手法,因此其DDoS攻击破坏能力可见一斑,此次的大批量IoT设备沦为Dofloo家族的“肉鸡”更是“如虎添翼”。

将捕获到的“肉鸡”IP进行shodan查询得知,涉及到的IoT厂商主要是以视频监控系统、路由器为主,且该批“肉鸡”分布十分广泛,主要集中在欧洲、印度、美国、越南、马来西亚、印度尼西亚、阿根廷、巴西、日本、中国等国家。如此规模的Dofloo DDoS botnet不敢想象后期爆发的DDoS 攻击流量会有多大,但据统计拥有10万“肉鸡”的Dofloo DDoS botnet可实现超600Gbps放大攻击。根据目前“肉鸡”的集中分布于欧美及印度的情况,预测该Dofloo DDoS botnet后期爆发攻击的目标很可能就是欧美或者印度,所以在此为欧美印各安全同行们拉起安全警报。

总结:

这几年IoT得到了很大发展,但是IoT安全并没有跟上发展的步伐,各种高危漏洞层出不穷,加上漏洞难以修复,已经成为黑客的“盘中珍馐”。所以安天提醒广大IoT设备厂商,要提高产品的安全防护意识,提醒产品用户及时修改默认登陆密码。

MD5:

def5b6170207bfdeef5ba453db3224b4

参考链接:

https://www.baidu.com/link?url=bQQb1REZyCO1hRCovPRbmuPCIaN_FDLEsTS8BxjaMSjE3c0YXncI-rM1IYUsi4yRT15Jh5Tt6d-nBTd1eIOH0zl0mkseKr_7tsj_ls91BnALSoQeIEMKzkoILXXrHLds&wd=&eqid=aea982ef000120c7000000065925347a