转载

15万台打印机被黑,打印出了一堆奇怪的东西

近日,国外有一个自称“stackoverflowin”的黑客侵入了超过15万台打印机。被入侵的这些打印机全部都打印出了这名黑客留下的警告信息。

不过据他本人声称,他控制这些打印机的目的是为了提高人们对打印机安全的认识,打印机在安全这块儿实在太薄弱了。如果你的打印机会不受控制地打印“YOUR PRINTER HAS BEEN PWND’D”那就说明你的打印机已经沦陷了。

15万台打印机被黑,打印出了一堆奇怪的东西

这次“攻击”其实只是个脚本

在24小时内,Stackoverflowin就跑着一个他心爱的小脚本,搜索打开的打印机端口,搜索到符合条件的打印机给该打印机发送一个打印作业。大到企业总部的多功能打印机,小到餐馆收据打印机多多少少都受到了影响。

Stackoverflowin会控制打印机输出各种信息,最新的一条是这样写的:

你们的黑客之神stackoverflowin回来了,这台打印机已经是火焰僵尸网络的肉鸡之一了,想办法修好你们的打印机吧。 有问题?推特找我。

stackoverflowin the hacker god has returned, your printer is part of a flaming botnet, operating on putin's forehead utilising BTI's (break the internet) complex infrastructure.
[ASCII ART HERE]
For the love of God, please close this port, skid.
-------
Questions?
Twitter: https://twitter.com/lmaostack
-------

第一个版本打印的消息上有一个机器人模样的ASCII码,还列出了这个灰帽子的邮箱地址。这个版本的图案则像是一个机箱旁边配上一台打印机。就像下图这样。

15万台打印机被黑,打印出了一堆奇怪的东西

很多品牌的打印机都受到了影响

许多受害者都反应他们的打印机会打印出奇怪的内容,受到影响的品牌包括Afico,Brother,佳能,爱普生,惠普,利盟,柯尼卡美能达,Oki和三星。如果你发现你的打印机也开始默默打印奇怪的东西,那么可能意味着你需要关闭路由器的9100端口——这是黑客发出打印作业的方式。要确保打印机不会出因为公开的IP地址而被入侵,首先要做的就是在路由设置中确立明确的规则,如白名单机制或者建立一个私有虚拟网络。

Stackoverflowin表示,他写的脚本主要针对的目标就是那些IPP(互联网打印协议)端口、LPD端口和9100端口向外部开放的打印设备。

我用zmap找到了开启9100端口的IP地址,然后在这个打印机上运行我用C语言写的一个小程序,打印出我输出的文字。成功入侵打印机后,安装固件也是小菜一碟,而且这些固件不需要签名。

这个脚本针对Dell Xeon的打印机还包含了一个远程代码执行漏洞的exploit。“借助这个漏洞,我就能注入PostScript,完成强制远程打印工作”。

只是个玩笑

Stackoverflowin解释说, 他所做一切都是出于好 意, 这些其实是他对安全工作的做法。 Stackoverflowin自曝自己是一个18岁的英国高中生, 几个月前 Stack 就开始关注打印机安全,看了很多关于打印机的文章,逐渐沉迷于打印机,最终产生了这个想法。

当然,组成 僵尸网络也是假的 ,这种事情也不是第一次发生了,之前就有人利用这种方式散播种族主义传单。但我跟他们不一样,我就是想告诉大家打印机在安全这块儿做的很差,顺便制造一些娱乐效果;)。很多人都觉得这个方式很酷,并衷心地感谢我。

现在网上已经出现了利用类似攻击进行勒索的消息,我立马就收手啦,否则有些人就会觉得这也是我干的,到时候跳进黄浦江都洗不清。

好在这是一次善意的“攻击”,假如这些打印机漏洞被恶意地利用,很有可能就形成一个类似于Mirai的僵尸网络,后果不堪设想。虽然这种攻击在技术上是不合法的,处于灰色地带,但是这件事本身没有伤害到任何人,还提高了很多人的安全意识。Stackoverflowin的做法不错,就是调皮了一点。

Stackoverflowin的灵感来自于去年3月, 当时 著名黑客Weev控制了数以千计的联网打印机宣传反犹太人的意志。

15万台打印机被黑,打印出了一堆奇怪的东西

其实就在1月底就有三位安全研究员发现了联网打印机的攻击可能性。在他们的 论文 “SoK:Exploiting Network Printers”中,探讨了打印机漏洞利用工具包,这是他们为波鸿鲁尔大学的硕士论文开发的工具,利用这个工具就可以检测出打印机是否安全。经过测试,他们发现有20多种打印机存在漏洞,易受到多次攻击。

15万台打印机被黑,打印出了一堆奇怪的东西

这几个研究员还编辑了维基百科,列出了数种对打印机入侵的攻击方式,比如拒绝服务,提权,信息泄露,代码执行、打印作业访问。其中有一种攻击方法就是迫使网络打印机通过端口9100打印,另一种则是利用跨站打印。

虽然在Reddit上有一个很火的帖子,叫 “如何随心所欲地控制6000台打印机输出文字” ,但是当时并没有媒体关心,媒体对打印机安全漏洞的报道也是在stackoverflowin让打印机打印“flaming botnet”的信息之后才出现的。

附一些推特网友收到 stackoverflowin警告后的趣图。

15万台打印机被黑,打印出了一堆奇怪的东西

15万台打印机被黑,打印出了一堆奇怪的东西

15万台打印机被黑,打印出了一堆奇怪的东西

15万台打印机被黑,打印出了一堆奇怪的东西

原文  http://www.freebuf.com/news/126336.html
正文到此结束
Loading...