包括Mirai和QBot在内的大多数物联网僵尸网络都依赖于使用弱/默认凭证访问受害者。从理论上讲,一个黑客可以简单地对这些C2服务器发动强力攻击,并且无需运行自己的僵尸网络即可访问僵尸程序。现在这个理论已经由一个名叫Subby的攻击者实施,他已经破坏了超过29个使用弱登录凭据的IoT僵尸网络命令和控制服务器。
他对这些C2服务器发起了暴力攻击,并使用他们的弱密码和默认密码访问了许多物联网僵尸网络,包括Mirai和QBot僵尸网络服务器。Subby发布的各种物联网僵尸网络C2服务器的凭证。部分屏蔽了IP以避免可能误用这些僵尸网络服务器。Subby共享了弱凭证列表,其中显示了常用用户名和密码的列表。常用的用户名和密码包括“root = root,admin = admin”。
Subby在Ankit Anubhav的采访详细介绍了攻击者用来破坏IoT僵尸网络服务器的方法。
他通过NMAP端口扫描捕获的C2 IP以找到C2端口,他表示“大部分僵尸网络运营商只是关注社区中传播的教程,或者可以在YouTube上访问以建立他们的僵尸网络。遵循这些教程时,它们不会更改默认凭据。如果他们确实更改了凭据,那么他们提供的密码通常很弱,因此容易受到强制攻击。”
“在暴力强迫的第一周内,我超过了40,000台设备。由于可能重复,这是一个非常夸大的数字。有充分证据表明,僵尸网络运营商喜欢人为地增加他们的机器人数量。我估计这个数字接近25,000个独特设备。我能够获得一个可靠的网络流量图表,该图表由所有僵尸网络组合产生的流量产生,并且刚好低于300gbit / s。由于许多僵尸网络上有大量的数字海洋服务器,因此实现了这一高数字。“
他最初执行此任务的主要原因是想看看暴力强制在C2服务器上的效果,以及它是否是一种有效的方式来访问设备,而不是必须使用漏洞或通常加载到弱设备上密码通过Telnet / SSH。要知道自Mirai发布以来,Telnet已经慢慢饱和,并且很难获得相当数量的机器人。他只使用C2来攻击网络流量图,这些图被设置为受到攻击以分析入站流量。
在之前的一个案例中就有有root:root凭证的物联网僵尸网络的SQL数据库,但正如现在看到的,问题扩大不能再认为是一次性案例。物联网领域的纯新手正在增加,而那些无法从源头设置僵尸网络的攻击者们,他们不再是去启动DDoS攻击,而是正在想要通过什么都不做来实现攻击。
留言0