本文研究人員將討論P2P技術在物聯網僵尸網絡中的使用是如何將它們轉化為組織和用戶需要警惕的更強大的威脅。

物聯網為僵尸網絡開發人員創造了一個廣闊的攻擊領域，他們已經開始在這個領域互相爭奪設備，而P2P物聯網僵尸網絡的受害者則越來越多。但是，一種著名的文件共享技術——點對點(P2P)網絡的介入會使事情變得更加復雜。

[[410110]]

一個典型的物聯網僵尸網絡會由許多被感染的設備(bot)連接到命令控制(C&C)服務器組成，網絡罪犯從中運行整個僵尸網絡。這意味著關閉C&C服務器將使僵尸網絡無法工作，無論僵尸網絡由多少設備組成，在物聯網僵尸網絡中引入P2P網絡消除了這種解決方案。

畢竟，P2P網絡允許計算機相互連接，而不需要中央服務器。在實踐中，這意味著要關閉一個P2P物聯網僵尸網絡，防御者將不得不清理每一個受感染的設備，這是一件非常繁瑣且幾乎不可能完成的任務，因為最好的僵尸網絡以使用數千種設備而聞名。

在本文的介紹中，研究人員討論了過去部署的5個P2P物聯網僵尸網絡惡意軟件家族，并比較了P2P網絡在Windows和物聯網環境之間發展為惡意軟件的速度。其中，研究人員還會討論P2P物聯網僵尸網絡的影響，以及網絡罪犯可能繼續采取這種威脅的趨勢。

影響

你可能想知道：為什么只有五個P2P物聯網僵尸網絡惡意軟件家族提供了一種使僵尸網絡長時間存活的好方法?讓研究人員分析一下物聯網僵尸網絡的真正目的是什么?

盈利是預測P2P物聯網僵尸網絡是否可持續的關鍵，為了讓網絡罪犯繼續開發和實施更復雜的僵尸網絡，他們需要找到一種從他們的努力中賺錢的方法。基于當今的物聯網僵尸網絡，解決此威脅的常見方法是通過包含第三方攻擊——以分布式拒絕服務(DDoS)攻擊的形式和虛擬專用網服務。

為了讓P2P物聯網僵尸網絡變得流行，網絡罪犯需要找到一種更好的方法來將這些受感染的路由器轉化為金錢。研究人員推測，網絡犯罪分子將把他們的重點轉移到從被感染路由器的網絡上賺錢，而不是僅僅把路由器用作連接互聯網的設備。

感染路由器以進行其他攻擊

物聯網僵尸網絡的主要目標是家庭路由器，使路由器成為一個不錯的目標的原因是它們作為家庭網絡入口的位置。一臺被感染的路由器可以讓網絡犯罪分子進行更多具有攻擊性的活動，比如中間人(MitM)攻擊和信息盜竊，網絡罪犯也可能選擇在返回流量中注入惡意元素。

一旦攻擊者把重點集中在分析和破壞被感染路由器的流量上，可能性就會無窮無盡。受感染的路由器可能會讓網絡犯罪分子通過重寫網頁來進行基于javascript的加密貨幣挖掘或點擊欺詐，以包含任何一種攻擊方案的必要元素。此外，網絡罪犯可以簡單地出售臺式機感染和被盜信息，并找到更多通過路由器惡意軟件獲利的方法。

例如，路由器還可以充當網絡罪犯向網絡上其他不安全設備橫向移動的立足點。通過以這種方式使用路由器，攻擊者將無需攔截流量以進行橫向移動，而不必應對TLS(傳輸層安全性)加密帶來的挑戰，這種方案在某種程度上符合現代勒索軟件方法或高級持續威脅(APT)攻擊。

通過橫向移動，網絡犯罪分子無需在感染路由器和感染個人電腦之間做出選擇，受損的路由器可能會讓攻擊者接管網絡中其他安全保障不佳的設備，包括計算機。

攻擊實現的可能性有多大?

盡管這些攻擊方法可能很難實現，但討論場景的意義在于它們是可能實現的。僵尸網絡惡意軟件需要攔截來自網絡內部的流量，并向它返回的每個網頁注入任意元素。從技術的角度來看，這需要篡改路由器的協議棧，這雖然很復雜，但可以做到。網絡罪犯也可以選擇查看用戶訪問的網頁日志，以獲取他們所持有的有價值的信息，這比篡改路由器的協議棧要容易得多。

物聯網僵尸網絡的過去、現在和未來

P2P網絡展示了物聯網僵尸網絡是如何進一步發展成為真正強大的威脅的，這是建立研究人員之前對這個課題所做的研究基礎上的。研究人員的論文“蠕蟲戰爭：物聯網領域的僵尸網絡之戰”中，研究人員回顧了今天大多數物聯網僵尸網絡惡意軟件家族的源代碼。更重要的是，研究人員展示了僵尸網絡開發人員在不安全設備上相互競爭的激烈程度。與此同時，研究人員對vpnFilter的案例研究突出表明，感染無法真正被刪除，因為它們仍可能以某種方式存在于設備中，并帶有風險，即使它們背后的操作早已被關閉。2018年虛擬專用網Filter在新出現的幾個月里就感染全球 54 個國家超過 50 萬臺路由器和 NAS 設備，它的破壞力可能比我們想象中還強。最初，業界普遍認為它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器，但事實上華碩、D-Link、華為、Ubiquiti、UPVEL 和中興等品牌的產品也難逃其魔掌。

從這些先前的研究中，研究人員可以看到物聯網僵尸網絡帶來的挑戰。P2P物聯網僵尸網絡通過控制中央服務器來關閉僵尸網絡，從而開啟了僵尸網絡“永生”可能性，從而使這些特征更加復雜。這里討論的盈利技術對無法刪除和無法關閉的僵尸網絡的添加可能會從根本上改變物聯網惡意軟件。

雖然這些攻擊大多集中在家庭路由器或家用設備上，但組織不應該忽視其與自身安全的相關性。如今，當遠程工作成為常態時，區分家庭網絡和公司網絡的界線變得更加困難，因此區分消費者攻擊和對組織的攻擊的界線也變得更加困難。攻擊者可以選擇攻擊通常不太安全的家庭網絡和路由器，以此達到更高、更有價值的目標。

雖然上述的前瞻性攻擊場景可能永遠不會發生，但可以肯定的是P2P物聯網僵尸網絡已經存在，對企業和家庭用戶都構成了真正卻持久的威脅。組織和個人都需要轉變他們的觀念，將保護他們的路由器和他們的臺式機和筆記本電腦放在同等重要的位置。

公司和家庭用戶在短期內應該怎么做?他們如何防止路由器被感染?步驟如下：

• 管理漏洞并盡快應用補丁，一旦發布補丁，就立即應用它們，可以減少潛在漏洞的機會。
• 應用安全配置，用戶必須確保其設備使用最安全的配置，以縮小攻擊的可能性。
• 使用強度很高的密碼，用戶可以通過更改默認密碼和使用強密碼來規避暴力破解策略。

本文翻譯自：https://www.trendmicro.com/en_us/research/21/c/the-future-of-p2p-iot-botnets.html