大量家庭和小型办公室的路由器正处于黑客的控制之下,黑客们不仅利用这些路由器组成僵尸网络进行DDoS攻击,还通过运行特殊的shell脚本使它们“自我复制”。
在过去的四个月中安全公司Incapsula记录了来自于全世界1600多家ISP提供商的40,269多个IP地址的攻击信息。通过观察所有被攻击的路由器,我们发现它们都可以进行远程管理,而且几乎所有的账号使用运营商所提供的默认登录账号密码(包括SSH和HTTP)。
攻击者通过这些默认密码登录路由并植入各种恶意软件,包括MrBlack,Dofloo和Mayday。黑客们可以自由地取用被攻击路由器的资源,并且为接下来的一系列无休止的后续攻击做好了准备。
鉴于这些设备那么容易被劫持,我们想要看看它们还可以被利用去做些什么别的事情。我们安全团队的记录文件中新增了许多新型的恶意软件,这些都是僵尸网络设备所产生的威胁。
我们通过分析发现,黑客们利用他们已控制的僵尸网络资源扫描那些使用错误配置的路由器,并将这些路由器变成“僵尸”——它们一次竟然能够影响300,000多台设备。他们通过执行shell脚本扫描开放且用了运营商配置的默认账号密码的SSH或HTTP端口。我们已经知道有多个厂商的路由器是极易被攻击的,包括Linksys,Asus,D-Link,Micronet,Tenda和TP-Link。
统计数据显示,超过85%被感染的路由器都位于泰国和巴西,而大多数的命令和控制服务器都在美国(21%)和中国(73%)。 另外Incapsula发现了间接证据显示这些路由器僵尸网络与DDoS 黑客组织Lizard Squad 存在联系。Lizard Squad发动了多次高调的DDoS攻击行动,其中包括瘫痪索尼的PSN和微软的Xbox网络。
对普通用户而言,应该确保路由器的默认密码已经修改并且密码足够健壮,并且为路由器安装最新版的固件。
* 消息来源 360 , securityweek ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)