互聯網化療——BrickerBot 殭屍網路創建者的行動

最新 02-05

本文作者 janit0r 被認為是 BrickerBot 病毒的作者。此病毒會攻擊物聯網上安全性不足的設備並使其斷開和其他網路設備的連接。janit0r 宣稱他使用這個病毒的目的是保護互聯網的安全，避免這些設備被入侵者用於入侵網路上的其他設備。janit0r 稱此項目為「互聯網化療」。janit0r 決定在 2017 年 12 月終止這個項目，並在網路上發表了這篇文章。

-- Janit0r

本文導航

? --[ 1 互聯網化療

02%

? --[ 2 時間線

39%

? --[ 3 臨別贈言

94%

編譯自　|　https://ghostbin.com/paste/q2vq2

作者　|　Janit0r

譯者　|　yixunx

--[ 1 互聯網化療

互聯網化療Internet Chemotherapy是在 2016 年 11 月到 2017 年 12 月之間的一個為期 13 個月的項目。它曾被稱為「BrickerBot」、「錯誤的固件升級」、「勒索軟體」、「大規模網路癱瘓」，甚至「前所未有的恐怖行為」。最後一個有點傷人了，費爾南德斯（LCTT 譯註：委內瑞拉電信公司 CANTV 的光纖網路曾在 2017 年 8 月受到病毒攻擊，公司董事長曼努埃爾·費爾南德斯稱這次攻擊為「前所未有的恐怖行為」

[1]

），但我想我大概不能讓所有人都滿意吧。

你可以從http://91.215.104.140/mod_plaintext.py下載我的代碼模塊，它可以基於 http 和 telnet 發送惡意請求（LCTT 譯註：這個鏈接已經失效，不過在Github

[3]

上有備份）。因為平台的限制，模塊里是代碼混淆過的單線程 Python 代碼，但載荷payload（LCTT 譯註：payload，指實質的攻擊/利用代碼）依然是明文，任何合格的程序員應該都能看得懂。看看這裡面有多少載荷、0-day 漏洞和入侵技巧，花點時間讓自己接受現實。然後想像一下，如果我是一個黑客，致力於創造出強大的 DDoS 生成器來勒索那些最大的互聯網服務提供商（ISP）和公司的話，互聯網在 2017 年會受到怎樣的打擊。我完全可以讓他們全部陷入混亂，並同時對整個互聯網造成巨大的傷害。

我的 ssh 爬蟲太危險了，不能發布出來。它包含很多層面的自動化，可以只利用一個被入侵的路由器就能夠在設計有缺陷的 ISP 的網路上平行移動並加以入侵。正是因為我可以徵用數以萬計的 ISP 的路由器，而這些路由器讓我知曉網路上發生的事情並給我提供源源不斷的節點用來進行入侵行動，我才得以進行我的反物聯網殭屍網路項目。我於 2015 年開始了我的非破壞性的 ISP 的網路清理項目，於是當 Mirai 病毒入侵時我已經做好了準備來做出回應。主動破壞其他人的設備仍然是一個困難的決定，但無比危險的 CVE-2016-10372 漏洞讓我別無選擇。從那時起我就決定一不做二不休。

（LCTT 譯註：上一段中提到的 Mirai 病毒首次出現在 2016 年 8 月。它可以遠程入侵運行 Linux 系統的網路設備並利用這些設備構建殭屍網路。本文作者 janit0r 宣稱當 Mirai 入侵時他利用自己的 BrickerBot 病毒強制將數以萬計的設備從網路上斷開，從而減少 Mirai 病毒可以利用的設備數量。）

我在此警告你們，我所做的只是權宜之計，它並不足以在未來繼續拯救互聯網。壞人們正變得更加聰明，潛在存在漏洞的設備數量在持續增加，發生大規模的、能使網路癱瘓的事件只是時間問題。如果你願意相信，我曾經在一個持續 13 個月的項目中使上千萬有漏洞的設備變得無法使用，那麼不過分地說，如此嚴重的事件本已經在 2017 年發生了。

你們應該意識到，只需要再有一兩個嚴重的物聯網漏洞，我們的網路就會嚴重癱瘓。考慮到我們的社會現在是多麼依賴數字網路，而計算機安全應急響應組（CERT）、ISP 們和政府們又是多麼地忽視這種問題的嚴重性，這種事件造成的傷害是無法估計的。ISP 在持續地部署暴露了控制埠的設備，而且即使像 Shodan 這樣的服務可以輕而易舉地發現這些問題，國家 CERT 還是似乎並不在意。而很多國家甚至都沒有自己的 CERT 。世界上許多最大的 ISP 都沒有僱傭任何熟知計算機安全問題的人，而是在出現問題的時候依賴於外來的專家來解決。我曾見識過大型 ISP 在我的殭屍網路的調節之下連續多個月持續受損，但他們還是不能完全解決漏洞（幾個好的例子是 BSNL、Telkom ZA、PLDT、某些時候的 PT Telkom，以及南半球大部分的大型 ISP ）。只要看看 Telkom ZA 解決他們的 Aztech 數據機問題的速度有多慢，你就會開始理解現狀有多麼令人絕望。在 99% 的情況下，要解決這個問題只需要 ISP 部署合理的訪問控制列表，並把部署在用戶端的設備（CPE）單獨分段就行，但是幾個月過去之後他們的技術人員依然沒有弄明白。如果 ISP 在經歷了幾周到幾個月的針對他們設備的蓄意攻擊之後仍然無法解決問題，我們又怎麼能期望他們會注意到並解決 Mirai 在他們網路上造成的問題呢？世界上許多最大的 ISP 對這些事情無知得令人髮指，而這毫無疑問是最大的危險，但奇怪的是，這應該也是最容易解決的問題。

我已經盡自己的責任試著去讓互聯網多堅持一段時間，但我已經儘力了。接下來要交給你們了。即使很小的行動也是非常重要的。你們能做的事情有：

? 使用像 Shodan 之類的服務來檢查你的 ISP 的安全性，並驅使他們去解決他們網路上開放的 telnet、http、httpd、ssh 和 tr069 等埠。如果需要的話，可以把這篇文章給他們看。從來不存在什麼好的理由來讓這些埠可以從外界訪問。暴露控制埠是業餘人士的錯誤。如果有足夠的客戶抱怨，他們也許真的會採取行動！

? 用你的錢包投票！拒絕購買或使用任何「智能」產品，除非製造商保證這個產品能夠而且將會收到及時的安全更新。在把你辛苦賺的錢交給提供商之前，先去查看他們的安全記錄。為了更好的安全性，可以多花一些錢。

? 遊說你本地的政治家和政府官員，讓他們改進法案來規範物聯網設備，包括路由器、IP 照相機和各種「智能」設備。不論私有還是公有的公司目前都沒有足夠的動機去在短期內解決該問題。這件事情和汽車或者通用電器的安全標準一樣重要。

? 考慮給像 GDI 基金會或者 Shadowserver 基金會這種缺少支持的白帽黑客組織貢獻你的時間或者其他資源。這些組織和人能產生巨大的影響，並且他們可以很好地發揮你的能力來幫助互聯網。

? 最後，雖然希望不大，但可以考慮通過設立法律先例來讓物聯網設備成為一種「誘惑性危險品attractive nuisance」（LCTT 譯註：attractive nuisance 是美國法律中的一個原則，意思是如果兒童在私人領地上因為某些對兒童有吸引力的危險物品而受傷，領地的主人需要負責，無論受傷的兒童是否是合法進入領地）。如果一個房主可以因為小偷或者侵入者受傷而被追責，我不清楚為什麼設備的主人（或者 ISP 和設備製造商）不應該因為他們的危險的設備被遠程入侵所造成的傷害而被追責。連帶責任原則應該適用於對設備應用層的入侵。如果任何有錢的大型 ISP 不願意為設立這樣的先例而出錢（他們也許的確不會，因為他們害怕這樣的先例會反過來讓自己吃虧），我們甚至可以在這裡還有在歐洲為這個行動而進行眾籌。 ISP 們：把你們在用來應對 DDoS 的帶寬上省下的可觀的成本當做我為這個目標的間接投資，也當做它的好處的證明吧。

--[ 2 時間線

下面是這個項目中一些值得紀念的事件：

? 2016 年 11 月底的德國電信 Mirai 事故。我匆忙寫出的最初的 TR069/64 請求只執行了，不過這已經足夠引起 ISP 去注意這個問題，而它引發的新聞頭條警告了全球的其他 ISP 來注意這個迫近的危機。

? 大約 1 月 11 日到 12 日，一些位於華盛頓特區的開放了 6789 控制埠的硬碟錄像機被 Mirai 入侵併癱瘓，這上了很多頭條新聞。我要給 Vemulapalli 點贊，她居然認為 Mirai 加上一定是「非常複雜的勒索軟體」（LCTT 譯註：Archana Vemulapalli 當時是華盛頓市政府的 CTO）。歐洲的那兩個可憐人又怎麼樣了呢？

? 2017 年 1 月底發生了第一起真正的大規模 ISP 下線事件。Rogers Canada 的提供商 Hitron 非常粗心地推送了一個在 2323 埠上監聽的無驗證的 root shell（這可能是一個他們忘記關閉的 debug 介面）。這個驚天的失誤很快被 Mirai 的殭屍網路所發現，造成大量設備癱瘓。

? 在 2017 年 2 月，我注意到 Mirai 在這一年裡的第一次擴張，Netcore/Netis 以及 Broadcom 的基於 CLI （命令行介面）的數據機都遭受了攻擊。BCM CLI 後來成為了 Mirai 在 2017 年的主要戰場，黑客們和我自己都在這一年的餘下時間裡花大量時間尋找無數 ISP 和設備製造商設置的默認密碼。前面代碼中的「broadcom」載荷也許看上去有點奇怪，但它們是統計角度上最可能禁用那些大量的有問題的 BCM CLI 固件的序列。

? 在 2017 年 3 月，我大幅提升了我的殭屍網路的節點數量並開始加入更多的網路載荷。這是為了應對包括 Imeij、Amnesia 和 Persirai 在內的殭屍網路的威脅。大規模地禁用這些被入侵的設備也帶來了新的一些問題。比如在 Avtech 和 Wificam 設備所泄露的登錄信息當中，有一些用戶名和密碼非常像是用於機場和其他重要設施的，而英國政府官員大概在 2017 年 4 月 1 日關於針對機場和核設施的「實際存在的網路威脅」做出過警告。哎呀。

? 這種更加激進的掃描還引起了民間安全研究者的注意，安全公司 Radware 在 2017 年 4 月 6 日發表了一篇關於我的項目的文章。這個公司把它叫做「BrickerBot」。顯然，如果我要繼續增加我的物聯網防禦措施的規模，我必須想出更好的網路映射與檢測方法來應對蜜罐或者其他有風險的目標。

? 2017 年 4 月 11 日左右的時候發生了一件非常不尋常的事情。一開始這看上去和許多其他的 ISP 下線事件相似，一個叫 Sierra Tel 的半本地 ISP 在一些 Zyxel 設備上使用了默認的 telnet 用戶名密碼 supervisor/zyad1234。一個 Mirai 運行器發現了這些有漏洞的設備，我的殭屍網路緊隨其後，2017 年精彩絕倫的 BCM CLI 戰爭又開啟了新的一場戰鬥。這場戰鬥並沒有持續很久。它本來會和 2017 年的其他數百起 ISP 下線事件一樣，如果不是在塵埃落定之後發生的那件非常不尋常的事情的話。令人驚奇的是，這家 ISP 並沒有試著把這次網路中斷掩蓋成某種網路故障、電力超額或錯誤的固件升級。他們完全沒有對客戶說謊。相反，他們很快發表了新聞公告，說他們的數據機有漏洞，這讓他們的客戶們得以評估自己可能遭受的風險。這家全世界最誠實的 ISP 為他們值得讚揚的公開行為而收穫了什麼呢？悲哀的是，它得到的只是批評和不好的名聲。這依然是我記憶中最令人沮喪的「為什麼我們得不到好東西」的例子，這很有可能也是為什麼 99% 的安全錯誤都被掩蓋而真正的受害者被蒙在鼓裡的最主要原因。太多時候，「有責任心的信息公開」會直接變成「粉飾太平」的委婉說法。

? 在 2017 年 4 月 14 日，國土安全部關於「BrickerBot 對物聯網的威脅」做出了警告，我自己的政府把我作為一個網路威脅這件事讓我覺得他們很不公平而且目光短淺。跟我相比，對美國人民威脅最大的難道不應該是那些部署缺乏安全性的網路設備的提供商和販賣不成熟的安全方案的物聯網設備製造商嗎？如果沒有我，數以百萬計的人們可能還在用被入侵的設備和網路來處理銀行業務和其他需要保密的交易。如果國土安全部里有人讀到這篇文章，我強烈建議你重新考慮一下保護國家和公民究竟是什麼意思。

? 在 2017 年 4 月底，我花了一些時間改進我的 TR069/64 攻擊方法，然後在 2017 年 5 月初，一個叫 Wordfence 的公司（現在叫 Defiant）報道稱一個曾給 WordPress 網站造成威脅的基於入侵 TR069 的殭屍網路很明顯地衰減了。值得注意的是，同一個殭屍網路在幾星期後使用了一個不同的入侵方式暫時回歸了（不過這最終也同樣被化解了）。

? 在 2017 年 5 月，主機託管公司 Akamai 在它的 2017 年第一季度互聯網現狀報告中寫道，相比於 2016 年第一季度，大型（超過 100 Gbps）DDoS 攻擊數減少了 89%，而總體 DDoS 攻擊數減少了 30%。鑒於大型 DDoS 攻擊是 Mirai 的主要手段，我覺得這給這些月來我在物聯網領域的辛苦勞動提供了實際的支持。

? 在夏天我持續地改進我的入侵技術軍火庫，然後在 7 月底我針對亞太互聯網路信息中心（APNIC）的 ISP 進行了一些測試。測試結果非常令人吃驚。造成的影響之一是數十萬的 BSNL 和 MTNL 數據機被禁用，而這次中斷事故在印度成為了頭條新聞。考慮到當時在印度和中國之間持續升級的地緣政治壓力，我覺得這個事故有很大的風險會被歸咎於中國所為，於是我很罕見地決定公開承認是我所做。Catalin，我很抱歉你在報道這條新聞之後突然被迫放的「兩天的假期」。

? 在處理過亞太互聯網路信息中心（APNIC）和非洲互聯網路信息中心（AfriNIC）的之後，在 2017 年 8 月 9 日我又針對拉丁美洲與加勒比地區互聯網路信息中心（LACNIC）進行了大規模的清理，給這個大洲的許多提供商造成了問題。在數百萬的 Movilnet 的手機用戶失去連接之後，這次攻擊在委內瑞拉被大幅報道。雖然我個人反對政府監管互聯網，委內瑞拉的這次情況值得注意。許多拉美與加勒比地區的提供商與網路曾在我的殭屍網路的持續調節之下連續數個月逐漸衰弱，但委內瑞拉的提供商很快加強了他們的網路防護並確保了他們的網路設施的安全。我認為這是由於委內瑞拉相比於該地區的其他國家來說進行了更具侵入性的深度包檢測。值得思考一下。

? F5 實驗室在 2017 年 8 月發布了一個題為「狩獵物聯網：殭屍物聯網的崛起」的報告，研究者們在其中對近期 telnet 活動的平靜表達了困惑。研究者們猜測這種活動的減少也許證實了一個或多個非常大型的網路武器正在成型（我想這大概確實是真的）。這篇報告是在我印象中對我的項目的規模最準確的評估，但神奇的是，這些研究者們什麼都推斷不出來，儘管他們把所有相關的線索都集中到了一頁紙上。

? 2017 年 8 月，Akamai 的 2017 年第二季度互聯網現狀報告宣布這是三年以來首個該提供商沒有發現任何大規模（超過 100 Gbps）攻擊的季度，而且 DDoS 攻擊總數相比 2017 年第一季度減少了 28%。這看上去給我的清理工作提供了更多的支持。這個出奇的好消息被主流媒體所完全忽視了，這些媒體有著「流血的才是好新聞」的心態，即使是在信息安全領域。這是我們為什麼不能得到好東西的又一個原因。

? 在 CVE-2017-7921 和 7923 於 2017 年 9 月公布之後，我決定更密切地關注海康威視公司的設備，然後我驚恐地發現有一個黑客們還沒有發現的方法可以用來入侵有漏洞的固件。於是我在 9 月中旬開啟了一個全球範圍的清理行動。超過一百萬台硬碟錄像機和攝像機（主要是海康威視和大華出品）在三周內被禁用，然後包括 IPVM.com 在內的媒體為這些攻擊寫了多篇報道。大華和海康威視在新聞公告中提到或暗示了這些攻擊。大量的設備總算得到了固件升級。看到這次清理活動造成的困惑，我決定給這些閉路電視製造商寫一篇簡短的總結

[4]

（請原諒在這個粘貼板網站上的不和諧的語言）。這令人震驚的有漏洞而且在關鍵的安全補丁發布之後仍然在線的設備數量應該能夠喚醒所有人，讓他們知道現今的物聯網補丁升級過程有多麼無力。

? 2017 年 9 月 28 日左右，Verisign 發表了報告稱 2017 年第二季度的 DDoS 攻擊數相比第一季度減少了 55%，而且攻擊峰值大幅減少了 81%。

? 2017 年 11 月 23 日，CDN 供應商 Cloudflare 報道稱「近幾個月來，Cloudflare 看到試圖用垃圾流量擠滿我們的網路的簡單進攻嘗試有了大幅減少」。Cloudflare 推測這可能和他們的政策變化有一定關係，但這些減少也和物聯網清理行動有著明顯的重合。

? 2017 年 11 月底，Akamai 的 2017 年第三季度互聯網現狀報告稱 DDoS 攻擊數較前一季度小幅增加了 8%。雖然這相比 2016 年的第三季度已經減少了很多，但這次小幅上漲提醒我們危險仍然存在。

? 作為潛在危險的更進一步的提醒，一個叫做「Satori」的新的 Mirai 變種於 2017 年 11 月至 12 月開始冒頭。這個殭屍網路僅僅通過一個 0-day 漏洞而達成的增長速度非常值得注意。這起事件凸顯了互聯網的危險現狀，以及我們為什麼距離大規模的事故只差一兩起物聯網入侵。當下一次威脅發生而且沒人阻止的時候，會發生什麼？Sinkholing 和其他的白帽或「合法」的緩解措施在 2018 年不會有效，就像它們在 2016 年也不曾有效一樣。也許未來各國政府可以合作創建一個國際範圍的反黑客特別部隊來應對特別嚴重的會影響互聯網存續的威脅，但我並不抱太大期望。

? 在年末出現了一些危言聳聽的新聞報道，有關被一個被稱作「Reaper」和「IoTroop」的新的殭屍網路。我知道你們中有些人最終會去嘲笑那些把它的規模估算為一兩百萬的人，但你們應該理解這些網路安全研究者們對網路上發生的事情以及不由他們掌控的硬體的事情都是一知半解。實際來說，研究者們不可能知道或甚至猜測到大部分有漏洞的設備在殭屍網路出現時已經被禁用了。給「Reaper」一兩個新的未經處理的 0-day 漏洞的話，它就會變得和我們最擔心的事情一樣可怕。

--[ 3 臨別贈言

我很抱歉把你們留在這種境況當中，但我的人身安全受到的威脅已經不允許我再繼續下去。我樹了很多敵人。如果你想要幫忙，請看前面列舉的該做的事情。祝你好運。

也會有人批評我，說我不負責任，但這完全找錯了重點。真正的重點是如果一個像我一樣沒有黑客背景的人可以做到我所做到的事情，那麼一個比我厲害的人可以在 2017 年對互聯網做比這要可怕太多的事情。我並不是問題本身，我也不是來遵循任何人制定的規則的。我只是報信的人。你越早意識到這點越好。

——Dr Cyborkian 又名 janit0r，「病入膏肓」的設備的調節者。

via：https://ghostbin.com/paste/q2vq2

作者：janit0r 譯者：yixunx校對：wxy

本文由LCTT原創編譯，Linux中國榮譽推出

LCTT 譯者

yixunx

共計翻譯：5篇

貢獻時間：63 天

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！