隱秘的“僵尸”世界：針對中國路由器的巨型僵尸網絡只是開始

一起跨越一年多的案件可能帶給我們新的思考——“僵尸”來了，很難擋住。

2017年年末，美國司法部門宣布制造了“美國東部大斷網”的Mirai 僵尸網絡始作俑者認罪，這起在 2016 年肆虐美國東部的全球首起物聯網攻擊再次引發了人們的關注。

事實上，雷鋒網此前已經預警，安全研究員們隨后監測到的大型僵尸網絡都比 Mirai 的“僵尸軍隊”要大得多。比如，規模比 Mirai 大很多的“ Satori”的僵尸網絡。Satori 在短短 12小時內感染了超過 26萬個 IP 地址，利用最新發現的華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215（現已有處理建議）控制了數十萬臺家庭路由器。（詳情見雷鋒網報道《巨大僵尸網絡 Satori 沖著中國某品牌路由器而來，作者身份被披露》）。

但這只是冰山一角，現在看似被控制住的“ Satori”背后還有更多隱情和潛在風險。雷鋒網與360 網絡安全研究院安全研究員李豐沛取得聯系，試圖探索這個更隱秘的“僵尸”世界。

1.“ Satori”為什么針對的是華為路由器，有什么隱情嗎？

李豐沛：現在Satori在12個小時的活躍數是26萬，我們估計總體規模應該是在60萬路由器左右，這是核武器級別的“僵尸網絡”。

Satori大量繼承了Mirai的原代碼，主體結構跟Mirai非常類似，但是感染手段和感染對象發生了變化。至于為什么是華為路由器，而不是其他路由器。我認為，攻擊者應該進行了多種感染方式的嘗試，碰巧命中了一個能拿下非常多的路由器漏洞，而且基數以百萬計，所以很快招募到了60萬臺“僵尸”，而且主要是家用路由器。

2.我們應該怪設備廠商“不作為”嗎？

李豐沛：這涉及到供應鏈。說“設備供應廠商不為安全做努力”不客觀，新出的攝像頭都會有安全措施，他們其實也在積極尋求如何讓設備更安全。

比較難處理的問題是——已經放出去的設備。它們已經存在網上，數量以百萬計，如果發現哪個設備型號有問題，廠商也很難控制。比如，這個東西賣給了A國、C國，沒對 B國賣過，但發現這個設備在B國非常多——因為銷售管理渠道會竄貨，這就不在廠商的控制范圍內了，它可能都無法找到一個人通知和處理。

賣出去后，有些就已經脫離控制了。為什么國內好一點？國內往往是行業采購，比如，高速公路的管理機構會集中采購一批，如果出了問題，好找人。只要有管事的，總能推得下去。這就是為什么中國用了很多攝像頭，但聽起來好像被攻擊得不是那么厲害的原因。他們是做了工作的，至于是否百分百盡力，是否達到社會的預期，這個有待評判，我們不說人家壞話。

3.一些 IoT 報告稱，路由器、攝像頭、打印機是物聯網安全隱患最多的設備，你怎么看？

李豐沛：打印機暴露在外網少一點。我們不是從漏洞來看，漏洞是潛在威脅，我們看的是已經實際發生的，已經被實際利用的設備。我特別想說，要注意家用路由器。美國司法部提到的認罪書說，Mirai的三個犯罪人員在2016年12月份做漏洞注入時，感染的設備是家用路由器，不是攝像頭。

核心原因是路由器在網絡上的暴露面足夠大，路由器一定有公網地址，外面可以掃得到，這有決定性意義。除了決定性的一條，存量設備已知漏洞沒有修補、有一些未知漏洞、設備比較老，也都是原因。

你家里的打印機不會直接有一個公網地址，攝像頭、路由器都有一個公網地址。我們要提醒大家，家用路由器實際發生的問題比攝像頭嚴重得多。而且家用路由器真出了一點什么問題，你可能根本沒有意識到，只要你能上網，個人不會意識到路由器被控制。

從家庭用戶來說，如果網速變慢，你可能會重啟路由器，你就覺得沒事了。攻擊者是大面積播種，成本很低，他不太在意在感染設備這一端上隱匿自己的行蹤。

4.Satori 的事情現在算完美解決了嗎？

李豐沛：Satori的影響確實挺大的。12小時感染26萬，報告發出去以后，很多其他安全公司紛紛確認我們看到的數量。每個人都看到說這個僵尸網絡怎么這么大。ISP、運營商、DNS運營商他們自發地工作，花了兩天，把控制端的域名和IP地址從僵尸網絡控制者那里接管過來。

這并不算完美解決。他們可以接管主控的域名和 IP 地址主控，可以顯著減緩僵尸網絡發展；但是設備的漏洞仍然存在，而且已經有人知道如何做，可以以比較隱蔽的方式重新做一次。

5.再掃描一次，再做一個（控制端）域名就行了？

李豐沛：對，成本很低。

6.那怎么玩？打掉一個又長出來一個。

李豐沛：是。在網絡空間做的這些措施，可以抑制減緩這個威脅，比如，攻擊者下次不會大張旗鼓地掃，之前12小時掃到了 26萬臺設備，也許我們采取措施后，后來可以降低到12天掃26萬臺設備。但也是僅此而已，要歸根結底徹底解決這個問題，需要執法機關的“肉體”打擊，把嫌疑人關到監獄里。

對付小毛賊，可以用前面提到的網絡安全空間的方式解決，但對付真正的江洋大盜，只能靠執法機關。國外銀行機構會比較關注這件事，你只要攻擊我一次，我一定把你弄到監獄，否則后面有無數人會來攻擊我。哪怕你沒有直接攻擊我，你攻擊了我的客戶也不行。

結語

如果你曾密切關注華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215的進展，就會發現幾天前，國內安全大牛 TK 在微博表示：“關于華為 HG532 遠程命令執行漏洞（CVE-2017-17215），所有相關文章中都說廠商已經提供了補丁——寫文章的同學們，你們真的看到補丁了？”隨后，他稱，華為 HG532 系列路由器的命令執行漏洞 CVE-2017-17215 可能比目前大家所看到的更危險。觸發這個漏洞所利用的端口在默認配置下只能在內網訪問，該漏洞完全可以通過 CSRF 遠程利用。

這意味著，即使在現有的聯合絞殺下，“ Satori”看似沉寂著，但事情遠未結束——無論是李豐沛所說的“ Satori”可以輕易改頭換面，還是TK 等人發現的該漏洞的新利用形式可引發的新威脅。

僵尸世界，一望無盡。

但還是有希望的。就如李豐沛所說的“有仇必報”的金融業案例——遭到僵尸網絡攻擊的金融業損失的是真金白銀，所以金融機構一定會反擊，結合線下打擊，給這類攻擊者產生了威懾力。

其他行業的受害者、安全從業者與執法機構如果“一追到底”，結果會不會不一樣？

我們等待這個答案。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。