如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?

家用網路的安全性跟保護企業邊界一樣重要,因為被駭的家用設備可能成為攻擊組織及公司資產的同伴。有弱點的家用網路不僅會影響到所有者和網路服務供應商,還會影響到連接的設備和儲存在上面的個人資料。

 

當有越來越多家庭使用智慧型設備來連接網際網路,路由器通常是唯一的守門員。無論使用者是筆記型電腦/桌上型電腦加上路由器,或者有其他設備會連接網路,安全風險都是一樣的。根據我們的研究,家用路由器最容易遭受跨站腳本(XSS)和PHP任意程式碼注入(arbitrary code injection)攻擊,還會被用來進行DNS放大(DNS amplification)攻擊。

智慧卻不安全的設備連上網際網路,就好像邀請看起來很有親和力卻心懷鬼胎的客人進入家門。只在閘道加上簡單的鎖並無法阻止它。根據最近對家用網路所進行的侵略來看,壞人們永遠可以找到方法破門而入。更糟的是,他們會感染這些設備,將它們變成接收指令進行網路犯罪的殭屍機器,就像最近對DNS服務商DynBrian Krebs所進行的攻擊,及在多個Netgear路由器內所發現命令注入漏洞。

 

後門程式,ELF檔案和「未來病毒」

家用路由器和物聯網(IoT ,Internet of Thing)設備通常都是使用Linux,因為它的普及性和具備的成本效益。但因為Linux的可移植性,開發在x86平台上的惡意軟體也可以在少幅度或甚至完全不修改原始碼的情況下就移植到家用路由器(通常是ARM或Armel)上。

家用路由器也可能遭受惡意應用程式、腳本和ELF檔案的影響。例如BASHLITE(趨勢科技偵測為ELF_BASHLITE)在2014年被用在大規模的分散式阻斷服務(DDoS)攻擊,最近經由感染物聯網設備(主要是巴西、哥倫比亞和台灣的網路監視錄影機DVR)來打造一個分散式阻斷服務攻擊 (DDoS)殭屍網路。還可能針對ARM、英特爾和相容x86和x86-64架構來感染隱藏的後門程式。這包括了Ring 3(也就是在使用者模式執行的)Rootkit,例如Umbreonvlany,它借用了另一個針對Linux的著名rootkit – Jynx2的功能。

圖1、Linux rootkit的安裝腳本節錄

圖2、vlany的範例程式碼,一個針對ARM系統的ring3 rootkit

 

Mirai(日語的「未來」,被偵測為ELF_MIRAI)相當特別,不單是因為它的複雜性(它使用預定義的預設憑證列表)。它的原始碼發布在駭客論壇上,讓其成為一個開放原始碼的惡意軟體,現被廣泛地利用和加以修改變得更強大。它的變種被用來將TalkTalk路由器變成殭屍機器攻擊高知名度的網站讓其斷線,如Netflix、Reddit、Twitter和Airbnb。當Mirai殭屍網路攻擊德國電信所提供的90萬台家用路由器時,也導致了客戶服務中斷。

圖3、Mirai所用的預設路由器憑證

圖4、Mirai避免掃描私人網路和某些組織的IP

 

家用網路所觸發的顯著安全事件

為了瞭解家用網路該如何進一步地防護,我們深入了解並發掘它們通常遭受的攻擊,以及常被用來當作攻擊網路跳板的設備和應用程式。一個關鍵重點:這些設備很容易成為殭屍機器。趨勢科技的物聯網研究顯示在2016年的前三季,最常被觸發的安全規則和事件有:

  • 跨站腳本(XSS)攻擊
  • DNS放大攻擊
  • PHP任意程式碼注入
  • 比特幣(Bitcoin)和萊特幣(Litecoin)採礦
  • 網際網路資訊服務(IIS)遠端程式碼執行(CVE-2015-1635)
  • JavaScript混淆(obfuscation)
  • WScript遠端程式碼執行
  • Android的libstagefright緩衝區溢位漏洞攻擊

 

前十大被觸發的規則 家用設備是攻擊者
1130172 DNS Amp 100%
1054846 XSS-8 100%
1130593 IIS HTTP.sys 100%
1056167 XSS-12 98.01%
1050015 XSS-34 97.95%
1055106 PHP Code inj 96.57%
1059684 Bitcoin 95.62%
1056687 Javascript obfs-5 93.45%
1110895 WScript.shell 89.73%
1132263 Android tx3g B.O. 17.57%

表1、2016年Q1-Q3被觸發的主要規則

 

異常大量被觸發的安全事件可以指出大多數攻擊者是受駭客控制的家用路由器。大多數位在美國(是第二名中國的五倍多)、韓國、加拿大和俄羅斯。接下來英國、德國、荷蘭、香港、瑞典、新加坡、澳洲、西班牙、瑞士和奧地利都是路由器攻擊數量最多的國家。

圖5、路由器攻擊次數最多的國家(2016年第一季到第三季)

 

然而,韓國的路由器平均攻擊次數最多。例如在第三季,韓國有最多攻擊次數和最高平均家用網路觸發安全事件次數(150次,相較之下美國是31次)。這可能可以看出一個國家中家用設備被殭屍化的頻率。

在這些被觸發的規則中,有三種安全事件因為跟我們研究的一致性與現今威脅情勢的關聯性而特別突出:DNS放大攻擊,IIS漏洞攻擊和比特幣採礦活動。

 

DNS放大攻擊

DNS放大攻擊是基於反射的DDoS攻擊,利用開放且可公開訪問的DNS解析服務來用DNS回應流量癱瘓受害者的系統。網路代管公司OVH是最新有紀錄遭受這類DDoS攻擊的受害者,高峰期的網路流量可以達到TB等級。這些攻擊與不安全和僵屍化的物聯網設備有關,包括Mirai感染的路由器、網路監視錄影機和網路攝影機。

趨勢科技的研究顯示,在所有的DNS放大攻擊中,攻擊者都是家用設備;DNS伺服器和良性伺服器或代管服務是受害者。這種攻擊是由內而外進行的:大量家用設備在未經所有者許可下被駭,設計來攻擊其他網路。Synology NAS(網路連接儲存)設備觸發了一半的DNS放大攻擊事件,平均每個NAS設備觸發853次事件,比其他設備高兩倍。

 

事件 設備 每個設備的平均事件數
Synology NAS 368,351 432 853
Unknown 198,193 513 386
Windows 111,618 351 318
Macintosh 51,071 272 188
Ubuntu 9-10 24,669 144 172

表2、觸發DNS放大事件的設備作業系統

 

IIS漏洞(CVE-2015-1635

 

企業和家庭用戶都會使用IIS,它是Microsoft所開發的網路伺服器軟體,用於Windows NT系列,支援HTTP、HTTPS、FTP、FTPS、SMTP和NTTP。我們的研究顯示IIS漏洞(特別是CVE-2015-1635)被用來侵入網路。CVE-2015-1635是HTTP.sys(通常用於網頁檔案傳輸)的遠端程式碼執行漏洞。利用此漏洞可以讓遠端攻擊者執行任意程式碼或透過特製的HTTP請求來造成阻斷服務攻擊。CVE-2015-1635漏洞攻擊主要是針對Windows設備。

圖6、成功發送惡意資料/有效負載後讓IIS伺服器崩潰(在Windows 7中)

 

安全事件
Windows OS-based 57,602
Windows 7 29,806
Windows 8 11,205
Windows XP 1,822
Macintosh 1,335

表3、IIS漏洞攻擊的設備作業系統

 

比特幣採礦

 

比特幣(Bitcoin)幣採礦(將加密技術用來生成數位錢幣)需要強大的運算能力。家用路由器雖然足以處理網路資料但資源有限。惡意軟體開發人員和「Botnet傀儡殭屍網路」操作者感染了龐大的受害者網路來補足這一點。

比特幣採礦活動是從傳統作業系統(主要是Windows)觸發,還有智慧型設備如網路攝影機和路由器。根據觀察到的網路流量,比特幣採礦(雖然在大多數國家都合法)可能是來自被駭的系統,特別是在使用者未知下進行,這通常是聯網設備所會遇到的狀況。

 

設備作業系統/類型 安全事件
Windows OS-based 56,231
Windows 8 28,898
Windows 7 27,857
Xiaomi Router 17,466
D-Link IPCam 6,843

表4、被加入比特幣採礦殭屍大軍的設備

 

解決作法

家用網路的安全性跟保護企業邊界一樣重要,因為被駭的家用設備可能成為攻擊組織及公司資產的同伴。有弱點的家用網路不僅會影響到所有者和網路服務供應商,還會影響到連接的設備和儲存在上面的個人資料。雖然原始設計和設備製造商對於保護這些設備都扮演著至關重要的角色,但使用者也可以透過數位安全作法來減少家用路由器被變成殭屍機器的風險,例如:

  1. 使用設備不只考慮功能性和易用性,還要注重安全和隱私
  2. 變更設備預設值,例如登錄憑證(即路由器SSID、使用者名稱和密碼),以使其不易遭受未經授權的存取
  3. 定期檢查路由器的DNS設定以確認是否遭篡改(檢查路由器會轉發查詢的DNS伺服器IP地址)
  4. 加密無線網路以阻止網路入侵和擅用者
  5. 將軟體和韌體保持在最新狀態以防止漏洞攻擊
  6. 啟用路由器的內建防火牆
  7. 將路由器設定為更能抵禦攻擊(即變更子網路地址,在路由器上使用隨機IP地址,強制使用SSL)
  8. 使用可幫助防止網路腳本攻擊的瀏覽器擴充程式(即阻止訪問路由器的IP地址)
  9. 用工具檢查路由器是否暴露在網路上(即端口掃描)
  10. 如果物聯網家用設備連接行動設備,只使用來自官方/受信任應用程式商店的合法應用程式
  11. 停用路由器內不必要的功能(除非另有需要),例如通用隨插即用(UPnP)、WPS和遠端管理功能如通過WAN連上Telnet和Web管理頁面,這可能會被惡意軟體利用來建立殭屍網路
  12. 使用白牌或二手路由器前要好好想想,可能具備惡意/不正確的配置或甚至帶有後門程式
  13. 使用工具在設備中加上額外的安全層,例如閘道的入侵防禦系統

 

@原文出處:Home Routers: Mitigating Attacks that can Turn them to Zombies 作者:趨勢科技(Kevin Y. Huang,Fernando Mercês和Lion Gu)