联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


首款智能温控系统勒索软件,利用显示器也能黑入电脑系统
2016-8-10
来源:freebuf
点击数: 4049          作者:江苏天网
  • 首款智能温控系统勒索软件

    物联网在IT界的关注度越来越高,但是物联网安全问题却没有被重视,这些物联网设备比想象中更容易侵入。

    researchers-infect-iot-thermostat-with-ransomware-507072-2.jpg

    假想一下,天气闷热,汗流浃背的你正准备洗澡,裤子脱了一半,瞄了一眼控温器上的水温,99度!而你,却无法手动控制水温。这时屏幕上跳出这样的一句话:想要洗澡吗?请支付价值1800元的比特币先。不管你怎么看,要是我,肯定气炸了。

    现在假想变成了现实!

    两位来自英国的渗透测试员(Ken Munro和Andrew Tierney)在DEF CON上演示了首个在智能控温设备上安装的勒索软件。他们选取了一个美国产的控温器,它运行在Linux版本下,并且拥有一个SD卡槽,用户能够在触摸屏上加载常用的设置和墙纸。这两个缺陷使得这款控温器很容易被黑。

    研究员发现这款控温器在执行文件时用的都是root权限,这就允许他们安装恶意软件来勒索用户。

    Tierney在演示时说明:

    我们加载了一个7MB大小的javascript文件,这个javascript文件比较特殊,我们能够利用Linux系统带来的便利查询SQL数据库。我们还利用了一个旧的IRC僵尸网络并加以改进,方便运行我们的恶意脚本或是shell命令,这样用户支付完赎金,我们就能帮他完成解锁,虽然这不是我们的本意。

    勒索软件通常意义上是一种向被害者索取赎金的恶意软件,它经常锁住用户重要的文件,并要求被害者提交一定数量的比特币才肯罢休。现如今,勒索软件更多地瞄准智能手机或是智能电视。

    在控温器上安装勒索软件其实很困难。这两位也是在演示前一天才******次成功,安装这个勒索软件需要对设备进行物理连接,或是欺骗用户安装他们指定的恶意文件。否则勒索无法进行。

    接下来要介绍的黑客技术也要求攻击者在攻击前进行物理连接。

    利用显示器“黑入”电脑系统

    QQ截图20160809173344.png

    很多人都有一个错误的认识,认为显示器这种无源设备肯定无法用来攻击系统。然而现实是,三个来自Red Balloon Security的研究员在DEF CON大会上展示如何利用一台显示器黑掉一个电脑系统。

    据称这种方法可以利用任何一台显示器侵入电脑系统,并且在屏幕上操纵像素刺探受害者的信息。

    方法很简单,黑客先要诱骗受害者访问一个恶意网站或是点击钓鱼链接,对方上当后就能攻击电脑控制显示器运行的固件,从而达到控制该显示器的目的。攻击者可以在这些更新过的固件中放入一个后门程序,然后他们就能通过网页上闪烁的像素点传输迷惑信息了。

    Ang Cui(Red Balloon公司首席研究员)和他的同事JatinKataria当场演示了如何通说影响其显示控制器来在屏幕上更改并记录像素,黑掉一台DellU2410显示器。

    演示中,他们成功地让一个余额为$0的Paypal账号在被黑显示器上显示为余额$1000000。

    Monitor-hacking-Dell_UltraSharp_U2410_12.jpg

    Cui解释说:

    利用这种技术我们可以让显示器输出非电脑发出的信息,例如一些欺骗受害者的图片、视频。

    问题的关键在于更改显示器固件需要得到验证,因此物理连接在攻击中是非常重要的一环。

    1438702270791512.jpg

    Cui带着狡黠的微笑自问自答:

    如果你问我能不能控制显示器开关?我会告诉你我能。

    由于图片和视频传输缓慢因此这种攻击方式的效率不是很高,不过这类黑客攻击主要是针对静态的目标

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019