• BrickerBot


    BrickerBot

    概况

    《大华(Dahua)安防监控设备弱口令问题报告 》主要提到是Telnet弱口令 root/vizxv

    相关链接:(发布时间:2015年4月1日)

    通过Telnet访问设备,默认用户名/密码:root/vizxv

    Radware进一步详细说明了该恶意程序成功访问设备之后的一系列操作,获取权限之后:

    • PDoS会立即执行一系列损坏存储的Linux命令
    • 再者是破坏设备性能、网络连接和擦除设备上的所有文件命令

    根据Radware的研究人员的说法,其从蜜罐中捕获到的BrickerBot攻击目标是:Linux/BusyBox IOT设备,这些设备的打开了Telnet端口并且被暴露在了公网上面,这和去年10月的Mirai是很相似的。

    原始文章

    要点归纳

    • 与Mirai相似
    • PDoS/Phlashing:永久拒绝服务,会损坏固件。解决办法只有替换或者重装固件。
    • 四天内,Radware的蜜罐记录了来自全球1,895次的PDoS攻击
    • 两条路径(Internet/TOR,BrickerBot.1/BrickerBot.2),相差一个小时左右。BrickerBot.2执行PDoS
    • 采用暴力破解方式登陆Telnet。没有样本,无法获取完整字典。只记录下了第一个尝试用户名/密码:root/vizxv
    • BrickerBot.1执行破坏命令:损坏存储,破坏网络连接、设备性能和擦除设备上的所有文件
      BrickerBot.1
    • 针对的特殊设备/dev/mtd/dev/mmc
      • /dev/mtd:Memory Technology Device - a special device type to match flash characteristics
      • /dev/mmc:MultiMediaCard - a special device type that matches memory card standard, a solid-state storage medium
    • 重配内核参数:TCP的时间戳,内核的最大线程数
    • 针对网络上打开Telnet端口的基于Linux/BusyBox的物联网设备
    • 端口22和运行老版本DropbearSSH服务的设备,并且这些设备被Shodan识别为Ubiquiti
    • 针对BrickerBot.2,同一时间记录到了333次命令不同的PDoS。无法定位攻击源,目前还在继续。第一次登陆命令:root/root,root/vizxv,后序命令如下:
      BrickerBot.2.1
    • BrickerBot.2比BrickerBot.1的命令更彻底,目标更广泛,并且不依赖busybox
    威胁 最后的命令与以前描述的PDoS攻击相同,并尝试删除默认网关,通过rm -rf / *擦除设备,并禁用TCP时间戳,并将内核线程的最大数量限制为一个。 这次,与存储损坏命令类似,添加了额外的命令来刷新所有iptables防火墙和NAT规则,并添加一条规则来删除所有传出的数据包。
    * BrickerBot.1已经停止,BrickerBot.2还在继续
  • 相关阅读:
    water——小根堆+BFS
    P5930 [POI1999]降水/SP212 WATER
    Blue Mary的战役地图——Hash表
    Antisymmetry(反对称)——Manacher
    数论基础
    可持久化数据结构(线段树,trie树)
    20200725模拟赛5题解
    vscode 如何创建git 新分支
    mysql 把一个数据库中的表数据复制到另一个数据库中
    shrio中的用法以及配置
  • 原文地址:https://www.cnblogs.com/ddvv/p/6692886.html
Copyright © 2020-2023  润新知