黑客通过恶意软件和僵尸网络控制了一所大学内的汽水机等物联网设备，造成5000个操作系统被锁。

这个故事来自Verizon的2017数据泄露概述的预览。它涉及到一个不知名的大学、海鲜搜索和物联网僵尸网络，黑客使用大学的自动售货机等物联网设备攻击了该大学的网络。

最初，该大学的帮助台收到了学生网络连接缓慢或无法访问的抱怨，一个安全团队被邀请参与调查这场混乱。调查成员做出了单方面猜测，由于该网络对于海产品相关域名的兴趣骤然大增，入侵者可能想要某种海产品。

事件负责人注意到“负责域名服务（DNS）查找的名称服伺器生成了大量报警，并对异常数量的海鲜相关域名产生了兴趣。随着服务器难以跟上,合法查找被dropped-preventing访问互联网的大多数。”这解释了“网络连接缓慢”的问题，但是对解决问题的帮助有限。

随后，大学联系了Verizon RISK团队（RISK全称是Research, Investigations, Solutions and Knowledge，即研究、调查、解决方案和知识），并移交了DNS和防火墙日志。风险小组发现大学被劫持的自动售货机和5000台其他物联网设备每15分钟就会向海产品域名服务器发送访问请求。

事件负责人做出了以下解释：

通过对防火墙分析，我们发现了5000多个分散的系统每15分钟将会访问数以百计的DNS。几乎所有被发现的系统都存在于物联网设施相关网络。由于对校园大规模监控和管理的需求，从灯泡到自动售货机等种种设备已连接入网，以方便管理并提高效率。虽然这些物联网系统应该独立于网络其他部分，然而很明显，他们为在不同的子网使用DNS服务器而进行了配置。

阅读风险小组的报告之后，高级信息安全小组成员表示：

在这些系统发送的成千上万的域名访问请求中，只有15个不同的IP地址被回答。其中的4个IP地址和近百个域名都在近期的僵尸网络观察列表中有备案。借助暴力破解和密码脆弱性攻击，僵尸网络在物联网设备间大肆传播。一旦密码泄露，恶意软件将获得设备的完全控制权，并将通过该设施登录、更新、更改密码，这就是5000台系统被锁的原因。

起初，负责人认为走出困境的唯一途径是更换所有的物联网设备，包括“每一个汽水机和灯柱”。然而，风险小组的报告解释说，“僵尸网络在物联网设备间的传播必须借助暴力破解和密码脆弱性攻击，”所以该大学采用了包嗅探器以拦截针对物联网设备的明文密码窃取软件。

通过可操作的包捕获设备，只需短短几个小时我们就能获得设备的的新密码表。通过这些密码，我们的开发人员能够编写一个脚本，进而登录并更新密码，立刻移除所有设备的感染。

Verizon的预览报告中罗列了这些问题的缓解和应对技巧，比如更改物联网设备的默认凭证。它还建议，“不要把所有的鸡蛋放在一个篮子里，为物联网系统创建单独的网络群，并尽可能建立物联网与其他重要网络间的安全过渡带。”

Verizon的即将发布的的第二次年度数据泄露概述将涵盖16项网络犯罪的案例研究。正如已公布的预览所显示的，该报告会是一次不容错过的阅读体验。

2017数据泄露概述预览（PDF）：

http://www.verizonenterprise.com/resources/reports/rp_data-breach-digest-2017-sneak-peek_xg_en.pdf