近年來，隨著互聯(lián)網(wǎng)技術的快速發(fā)展以及國家政策的大力支持，物聯(lián)網(wǎng)這一領域也跟著水漲船高，各項具有應用意義的項目也在不斷拓展，比如智能家居，視頻監(jiān)控系統(tǒng)等，身處千里之外，卻能知悉家中的一舉一動，這也體現(xiàn)了“萬物互聯(lián)”的概念。其中，作為物聯(lián)網(wǎng)的終端節(jié)點，比如智能路由器，視頻監(jiān)控器等設備，隨著大眾將目光逐步轉移到物聯(lián)網(wǎng)時，這些設備因自身的安全性問題也遭受到來自惡意攻擊者的覬覦。

[[172868]]

據(jù)悉，目前針對物聯(lián)網(wǎng)設備的惡意軟件越來越普遍了，基本每個月都會發(fā)現(xiàn)新的變種。而據(jù)分析，在過去的兩年里，發(fā)現(xiàn)的所有物聯(lián)網(wǎng)惡意軟件基本都是同樣的運作原理思路。一般來說，使用釣魚方式或者自動化工具來進行暴力破解物聯(lián)網(wǎng)設備，通過密碼字典嘗試批量猜解物聯(lián)網(wǎng)設備的管理員賬戶及密碼，來開始對設備的感染。

物聯(lián)網(wǎng)僵尸擴張的源頭：默認設備登錄口令

當設備運行后，如果用戶沒有及時更改設備的默認登陸口令，攻擊者往往可針對這些設備進行暴破，輕而易舉便可進入到該設備的管理界面。此后，攻擊者便可植入惡意代碼到其中，并使之與C&C服務器通訊，將之融合到僵尸網(wǎng)絡中。而這些僵尸網(wǎng)絡主要用以發(fā)動DDoS攻擊，或者作為代理，向其他物聯(lián)網(wǎng)設備實施暴力破解。

在近年八月份，卡巴斯基發(fā)現(xiàn)基于Linux設備節(jié)點組成的網(wǎng)絡，近年來在地下市場已逐步成為主流的DDoS攻擊的僵尸網(wǎng)絡。

在大部分案例中，物聯(lián)網(wǎng)設備往往被集中起來，組成僵尸網(wǎng)絡，從而發(fā)起DDoS攻擊，僅僅在少數(shù)定向攻擊的案例中，我們會發(fā)現(xiàn)某些攻擊者，利用其中物聯(lián)網(wǎng)中的某一設備，作為網(wǎng)絡中的代理節(jié)點來進行攻擊。

前文所呈現(xiàn)的入侵攻擊，一方面，還是因為用戶的安全意識較為薄弱，在使用物聯(lián)網(wǎng)設備過程中，并沒有對密碼進行強化或者更改，導致攻擊者可輕而易舉地暴破訪問設備。另一方面，也是因為相應的物聯(lián)網(wǎng)終端設備存在安全漏洞，攻擊者利用該漏洞來對設備進行控制，從而才可將對設備進行感染并融入到其僵尸網(wǎng)絡中。而根據(jù)安全公司賽門鐵克的全球統(tǒng)計，以下表單為目前物聯(lián)網(wǎng)設備Top 10 的弱口令(其中賬戶和同一行的密碼并不對應)。

如果針對我們自身使用的系統(tǒng)及設備如樹莓派或者ubantu等，從目前的密碼強度進行審計，是否也存在相應的弱口令呢?

根據(jù)來自賽門鐵克的研究，近年的物聯(lián)網(wǎng)惡意軟件往往帶有跨平臺特性，能夠有效針對所有的主流硬件平臺進行攻擊，如x86, ARM, MIPS以及 MIPSEL平臺等。除了上述的部分，在某些案例中，也有一些惡意軟件家族，主要針對其他平臺或者架構的，如PowerPC, SuperH以及 SPARC架構的。

物聯(lián)網(wǎng)惡意軟件可自我進行復制

實際上，通過使用工具，像Shodan(具體還請參考《如何在15分鐘內(nèi)利用Shodan對企業(yè)進行安全審計?》以及《安全搜索引擎Shodan(搜蛋)命令行模式使用TIPS》)，以及自動化暴破腳本，攻擊者已經(jīng)很少需要手工進行操作了，雖然偶爾可能會碰到需要手工操作的案例。而當前的物聯(lián)網(wǎng)惡意軟件甚至有了蠕蟲的特性，即是可以傳播給其他關聯(lián)的設備，例如 Ubiquiti 蠕蟲。

Ubiquiti ，其全稱為優(yōu)倍快網(wǎng)絡公司，簡稱UBNT，我們可以發(fā)現(xiàn)其在前文物聯(lián)網(wǎng)設備弱口令Top 10的排名中也是榜上有名的。該公司主要生產(chǎn)無線網(wǎng)絡產(chǎn)品，包括像WiFi覆蓋AP、點對點網(wǎng)橋、點對多點網(wǎng)橋、WiFi客戶端(CPE)等。而Ubiquiti蠕蟲，被發(fā)現(xiàn)于其AirOS路由器，主要可通過利用一個存在路由器login.cgi文件中的任意文件上傳漏洞(詳情請參看進行了解：https://hackerone.com/reports/73480)，上傳并執(zhí)行惡意文件。在已知的案例中，攻擊者創(chuàng)建了一種可自我復制的病毒，通過利用Ubiquiti產(chǎn)品的默認口令(賬戶為ubnt，密碼為ubnt)登錄路由器，而利用上述漏洞，蠕蟲會在路由器上創(chuàng)建一個后門賬戶，并利用已有權限向其他設備進行復制傳播。而該蠕蟲病毒也被稱為Ubiquiti蠕蟲。

因自我復制的特性，物聯(lián)網(wǎng)惡意軟件可“幫助”攻擊者建立起一個頗具規(guī)模的僵尸網(wǎng)絡，據(jù)目前的統(tǒng)計，至少存在一百萬個安全性極低的物聯(lián)網(wǎng)設備向互聯(lián)網(wǎng)開放其敏感端口。

感染物聯(lián)網(wǎng)設備的主流惡意軟件有哪些?

如前文所述，這些物聯(lián)網(wǎng)設備組成的僵尸網(wǎng)絡往往被利用來實施不同類型的DDoS攻擊。如在近期，infosec記者報道了一次由物聯(lián)網(wǎng)設備組成的網(wǎng)絡發(fā)起的DDoS攻擊，其最高峰流量可達620Gbps。

而作為感染設備的惡意軟件，到目前，究竟有哪些類型或者種類呢?我們可以往下看看。

據(jù)安全公司賽門鐵克分析統(tǒng)計，目前最為主流的物聯(lián)網(wǎng)惡意軟件家族如下，

Linux.Darlloz (aka Zollard),
Linux.Aidra (Linux.Lightaidra)
Linux.Xorddos (aka XOR.DDos)
Linux.Gafgyt (aka GayFgt, Bashlite),
Linux.Ballpit (aka LizardStresser)
Linux.Moose, Linux.Dofloo (aka AES.DDoS, Mr. Black)
Linux.Pinscan / Linux.Pinscan.B (aka PNScan)
Linux.Kaiten / Linux.Kaiten.B (aka Tsunami)
Linux.Routrem (aka Remainten, KTN-Remastered, KTN-RM)
Linux.Wifatch (aka Ifwatch)
Linux.LuaBot

物聯(lián)網(wǎng)設備廠商缺乏足夠的安全響應能力

根據(jù)統(tǒng)計的數(shù)據(jù)，缺乏安全性的物聯(lián)網(wǎng)設備在全球范圍內(nèi)普遍存在。其中來自中國安全性較低的設備，約占設備總數(shù)量的34%，其次是美國，約占28%，接下來為俄羅斯，約占9%，詳細如下圖。

實際上，出現(xiàn)安全問題的設備往往來自于同一個公司的產(chǎn)品。比如：

此前有過報道的，關于發(fā)現(xiàn)將近25000個攝像頭被感染為僵尸網(wǎng)絡節(jié)點一事，正是由于國內(nèi)一家生產(chǎn)硬盤錄像機的廠商，未能及時發(fā)布升級固件，造成該公司生產(chǎn)的大量攝像頭被入侵的情況。該公司的硬盤錄像機被全球約70多家公司貼牌出售，而當時應該也是有很多用戶并不能及時修復他們的設備，因為銷售廠商他們也在等待這家位于中國的廠商發(fā)布的補丁，來修復漏洞。

結語

隨著物聯(lián)網(wǎng)的發(fā)展，特別是智能家居逐步深入到家庭的每個角落中，物聯(lián)網(wǎng)設備的安全性已經(jīng)與每個人，每個家庭緊緊掛鉤。提高物聯(lián)網(wǎng)設備的安全性以及設備廠商的安全響應能力已經(jīng)是迫在眉睫。同時用戶在日常使用設備的過程中，應提高安全意識以及培養(yǎng)良好的安全習慣，比如新裝設備應及時更改并設置高強度密碼，定期查看設備登錄記錄等，如有可能，也可關閉設備的敏感服務端口，盡可能降低設備被入侵風險。