日前，外媒Networkwold报道了Verizon2017年数据泄露摘要场景的深入分析报告。它涉及到一所未透露名称的大学，海产品搜索和物联网僵尸网络。黑客利用大学里面的自动售货机和其他物联网设备对大学网络进行了攻击。

自从大学的援助中心消除学生对慢速或无法访问网络连接的投诉后，等到IT安全团队的一位资深成员接到通知时已经混乱不堪。这个事件是从小组成员的角度给出的。

该事件的负责人注意到“负责域名服务(DNS)查找的名称服务器正在生成大量警报，并显示与海鲜相关子域的数量异常。当服务器努力跟上时，却发现合法的查找正在被删除，阻止用户访问大多数互联网”。这解释了“网络太慢”的问题。

然后，该大学联系了Verizon Risk(研究、调查、解决方案和知识)团队，并移交了DNS和防火墙日志。风险团队发现，该大学被劫持的自动售货机和5000个其他物联网设备每15分钟就会进行海鲜相关的DNS请求。

事件负责人解释说：

对防火墙的分析确定了超过5000个分立系统，每15分钟进行数百次DNS查找。其中，几乎所有系统都发现存在专用于物联网基础设施的网络部分。该大学，有一个大型的校园监控和管理系统，从智能灯泡到自动贩卖机的一切都已连接到网络，以方便管理和提高效率。虽然这些物联网系统应该与网络的其他部分进行隔离，但很明显，它们都为在不同的子网中被配置使用DNS服务器。

在阅读风险小组的报告后，高级IT安全团队成员说：

在请求的数千个域中，只返回了15个不同的IP地址。这些IP地址中的四个和近100个域出现在最近的一个紧急的IoT僵尸网络列表中。这个僵尸网络的传播是依靠设备之间的强制和默认弱密码进行的。一旦知晓密码，恶意软件将完全控制设备，并将检入命令基础设施更新和更改设备密码——锁定我们的5000个物联网设备。

首先，事故指挥官认为唯一的出路是替换所有物联网设备，如“每个汽水机和灯柱”。然而风险小组的报告解释说，“这个僵尸网络的传播是依靠设备之间的强制和默认弱密码进行的”，所以大学可以使用数据包嗅探器截取受损物联网设备的明文恶意软件密码。

在重新分配给设备的新密码完整列表，我们只有几个小时的时间来运行数据包捕获设备。有了这些新密码，我们的开发人员能够编写一个脚本，如此，我们就能登录、更改密码，并立即删除所有设备上感染的东西。

Verizon的报告还包括缓解和响应提示，例如更改物联网设备上的默认凭据和“不要将所有的鸡蛋放在一个篮子里; 为物联网系统创建单独的网络区域; 在可能的情况下将它们与其他关键网络隔离开。