物联网设备总量超过100万台

　　E安全8月31日讯 超过100万台物联网设备在最近几个月中已经遭遇入侵，这也意味着Gafgyt、Lizkebab、BASHLITE以及Torlus等DDoS僵尸网络家族再添新成员。

　　大家可能听说过LizardStresser恶意软件，这款DDoS工具套件由臭名昭著的Lizard Squad黑客集团所打造，旨在用于建立自己的僵尸网络。

　　事实上，这一决策已经给DDoS的发展前景造成重大影响。截至今年6月底，网络安全厂商Arbor Networks表示已经有超过100套DDoS僵尸网络利用该工具包构建完成。

　　目前已经有超过100万台物联网设备遭到入侵根据由Level 3与Flashpoint发布的最新研究结果，这款工具目前已经入侵了超过100万台物联网设备。

　　这些物联网装置占Gafgyt僵尸网络总体规模的96%，且均已参与到最近的几次DDoS攻击活动中。

　　根据Level 3方面的统计，在这些物联网设备当中有95%属于DVR设备与IP摄像头。只有4%为家用路由器，另外1%则为Linux Web服务器。

　　DVR系统为恶意人士最为青睐的目标Level 3方面指出，由大华科技公司出品的白标DVR设备是目前最易受感染的物联网装置。

　　DVR亦是恶意人士最乐于收编至DDoS僵尸网络中的理想设备。截至今年6月底，网络安全厂商Sucuri公司已经发现一套由25000多台DVR与使用TVT硬件的闭嘴电视系统构成的僵尸网络。这套僵尸网络由另一种恶意软件创建而成，其复杂程度要远超Gafgyt。

　　Gafgyt由C语言编写而成的Gafgyt是一种相对比较简单的恶意软件。Gafgyt僵尸网络只能发动UDP与TCP洪流，而不支持反射式DDoS攻击。另外，其亦使用简单的C&C服务器结构。

　　Level 3方面表示，只需要揪出中央命令与控制服务器，即可轻松瓦解Gafgyt僵尸网络。然而，由于各僵尸网络由各使用默认凭证的、被暴力破解所攻陷的设备所构成，因此攻击者能够轻松重新接入各设备并在数小时或者数天之内构建新的僵尸网络。

　　已经观测到由12万台设备构成的超级僵尸网络根据观察Gafgyt僵尸网络收集到的相关数据，其C&C服务器的持续时长一般为13天左右。Level 3团队观测到的最大规模僵尸网络甚至包含12万台肉鸡设备。

　　威胁发动者并不需要庞大的肉鸡规模即可发动大型攻势。事实上，只需要数千台客户端，僵尸网络即可启动流量高达数百Gbps的DDoS攻击。

　　由于大多数肉鸡设备为IP摄像头与DVR，这些设备往往拥有高传输带宽连接以实现视频重播——这意味着其将在DDoS攻击中成为重火力来源。
 

　　Gafgyt僵尸网络地理分布图

　　僵尸网络将矛头指向运行Linux固件的各类设备僵尸网络的简单特性亦体现在恶意人士利用IRC通道对其进行控制。各Gafgyt肉鸡会接入一套专有IRC聊天室，并在这里以聊天消息的方式发布指令。全部肉鸡皆接入该聊天室以读取信息并加以执行。

　　Gafgyt肉鸡设备已经成为当前DDoS地下服务市场上的主要贡献者。

　　由于Gafgyt恶意软件主要针对运行有特定精益版本Linux系统的物联网设备，特别是经过修改以降低运行所需资源数量，因此这些设备上几乎不可能存在任何安全软件。而保护这些设备免受感染的努力也绝大多数遭遇失败。

　　安全专家建议各位物联网设备持有者修改其默认凭证，将其部署在专有网络当中，通过VPN进行访问或者安置在防火墙之后以抵御未知用户对其管理与认证端口的接入。