事件还原
近期,一个名为Printeradvertising.com的服务声称他们可以黑掉全世界上任何一个地方的联网打印机,并让这些打印机打印恶意广告信息。
Printeradvertising.com是一个新上线的垃圾邮件服务,虽然很多人都认为他们有些过于夸大其词了,但是安全公司Grey Noise的创始人Andrew Morris却表示,他们的研究人员确实检测到了一个大规模的基于打印机的垃圾邮件活动(攻击源地址为194.36.173[.]50)。他在Twitter上说到:“我们的安全检测团队的确检测到了一个恶意广告活动,攻击者正在向全网传播打印恶意广告的打印命令,这个恶意活动的情况跟PewDiePie打印机攻击事件的非常相似。”
Morris在接受BleepingComputer的采访时表示,至少有60个不同的Grey Noise蜜罐检测到了来自IP地址194.36.173[.]50的连接请求,而这些请求命令都在尝试向目标设备发送打印任务。Bad Packets Report和Phishing AI也表示,这个IP地址属于一个专门从事恶意网络活动的子网,其中涉及到了网络钓鱼工具和C2服务器,可能还有一些类似Lokibot这样的恶意软件。
恶意打印任务发送出去之后,它会使用原始的PCL(打印机命令语言)来命令打印机以什么样的格式来打印这份文档:
打印命令发送成功之后,它会让目标打印机打印如下所示的信息,主要是在推广printeradvertising.com这个服务:
恶意广告的内容大致如下:“printeradvertising.com是有史以来最牛X的恶意广告服务提供商,我们可以入侵全世界任何一个地方的任何一台联网打印机。感兴趣吗?预定名额有限喔!“售”完即止!”
据了解,在Twitter上有一位名为@printerads的用户表示这个恶意广告服务就是TA在运营着。他表示,这个恶意广告活动的主要目的是为了看看这个世界上到底有没有人真的对这种服务感兴趣。如果真的有人感兴趣,而且用户量很大的话,他们很可能会继续升级这个服务,并支持更多的打印协议。
Printeradvertising还表示,他们所提供的全部都是货真价实的服务,目前他们的恶意打印广告服务价格为250美元,并且上线当天就已经收到了超过600封的咨询邮件了。毫无疑问,启动这样的一种服务肯定是违法的,因为这个活动涉及到了在没有得到授权的情况下在他人设备上执行非法操作。
奇怪的是,printeradvertising.com网站上竟然留有一个关于一位名叫Simon Smith的澳大利亚安全顾问的跳转链接。Smith本人在接受BleepingComputer的采访时表示,由于这个恶意广告打印活动的影响,他现在几乎每天都会接到来自全世界各个地方的死亡威胁恐吓电话。因此,Smith也在LinkedIn上发表了一份声明:
“不知道各位最近有没有收到声称来自eVestigator的恶意广告或端口扫描活动?
首先,这种卑鄙和违法的行为和我们本身的业务没有任何一丢丢的关联。我们一直都在不遗余力地打击和揭露网络犯罪活动,因为我们认为这些网络犯罪分子是非常可悲的,他们没有把自己的天赋用到正途上。但是现在有网络犯罪分子开始打着我们的旗号来进行犯罪活动了,而我们也已经将事件信息上报给了美国联邦调查局,我们和这些恶意广告、垃圾邮件、DDOS或打印机攻击活动没有任何的关系!
目前,已经有几名受害者处于好意给我们提供了日志记录,希望能够帮助我们识别出背后真正的网络犯罪分子,而且我们也已经将报告提交给了IC3和FBI。除此之外,我们也要求将那些未经授权便使用我们公司名称以及公司商标的违法网站予以取缔或强制下线。”
然而,Printeradvertising服务背后的“始作俑者”仍然在声称他自己就是Smith,然后还在电子邮件地址中标记了“eVestigator®, Simon Smith”的字样。
实际上,这种活动在此之前也曾出现过。就在前两天,安全客还报道了一个关于YouTube频道-PewDiePie的恶意广告活动。当时Youtube似乎搞了个什么鬼“Youtube频道订阅人数”的比赛,而在T-Series和PewDiePie这两个频道争夺这个订阅人数最多的频道“王冠”时,有一名黑客劫持了全球5万多台接入了互联网的打印机,并通过远程命令控制来让这些被入侵的打印机自动打印传单。而传单的内容就是,要求每一个看到这张传单的人都去订阅PewDiePie这个Youtube频道。
Lode Radio Show的负责人也跟BleepingComputer联系了,并且发布了以下声明:“我们拒绝承认参与了这个恶意广告打印活动,并表示不会为这个恶意攻击活动负责。我们关闭了YouTube频道,并增强了Twitter账号的安全等级,然后把所有的访问者引流到了一个慈善机构的账号。”
打印机真的应该联网吗?
为了防止这种类型的网络攻击,千万不要把带有联网功能的打印机接入到互联网。因为一旦你把这种打印机接入了互联网,你就就而给恶意攻击者提供了可乘之机,他们将能够通过恶意远程命令向你的打印机发送打印任务,并打印任何文档,包括色情和反动信息在内,而这些东西会让你的工作和生活陷入窘境。
虽然很多互联网服务提供商屏蔽了绑定打印机守护进程的TCP端口,但还是有很多人没有这样做。根据我们在Shodan.io上的扫描结果,目前互联网上还有超过1万3千多台联网打印机通过类似Comcast、Verizon Fios、Spectrum和AT&T这样的ISP来接入互联网。
如果你的企业或组织确实需要让远程用户使用你的打印机并执行打印任务的话,你应该在打印机和互联网之间设置防火墙,并要求用户通过VPN来使用企业网络的内部资源。