一、引言

近兩年來，隨著物聯(lián)網相關技術的發(fā)展，幾乎所有的家用電器都可以接入網絡。智能化的應用給生活帶來便利的同時，其副作用也隨之而生。2016年，攻擊者使用Mirai病毒用僵尸物聯(lián)網設備讓一個新聞網站的重要防火墻癱瘓之后，緊接著Dyn DNS service遭受到攻擊，使得美國網絡中流砥柱的公司大面積癱瘓，影響遍及數(shù)百萬人群。而Mirai能夠在識別物聯(lián)網設備的同時令其感染病毒使之成為僵尸網絡，進而集中控制物聯(lián)網設備，發(fā)起分布式拒絕服務(DDoS)攻擊，大量垃圾流量會滲透進入目標服務器，令服務器癱瘓。如今，受到威脅的不再只是電腦，網絡攝像頭和路由器也早已危機四伏，因此對物聯(lián)網僵尸網絡的識別及攻擊預測，顯得尤為重要。

通常情況下，可以從地址類型、網絡位置、行為位置、風險類型等多個方面對某一IP進行描繪，IP維度上產生的信息，可以在很多業(yè)務場景中配合使用，如果對一些可疑的IP進行合理的描繪，輸出相關的情報信息，從某些方面講也可以為惡意攻擊提供一定的預警能力。本文對物聯(lián)網設備的IP進行了分析，主要從設備類型，開放服務，地域信息，攻擊類型四個方面進行描繪，而且對這些維度進行分析，從中得出現(xiàn)有的惡意物聯(lián)網IP的特征，并分析這些特征產生的可能原因。

??

圖1  物聯(lián)網惡意IP可選的描繪維度

由2017年3月份綠盟科技創(chuàng)新中心物聯(lián)網安全實驗室和威脅情報實驗室聯(lián)合發(fā)表的《國內物聯(lián)網資產的暴露情況分析》(http://t.cn/RaGywgI)中了解到，國內有十幾種物聯(lián)網設備存在數(shù)量較多的暴露情況，根據(jù)數(shù)量排序依次列出。

??

圖2  全球和國內物聯(lián)網相關設備暴露情況

本文物聯(lián)網資產數(shù)據(jù)全部來源于NTI(綠盟威脅情報中心)，通過設備類型標簽提取出物聯(lián)網資產，將結果與歷史攻擊事件數(shù)據(jù)庫中3000w IP進行撞庫處理，最后共獲得77860條惡意物聯(lián)網資產記錄，并將以上兩個數(shù)據(jù)庫的字段相結合做了如下相關分析。

二、相關分析

1. 攻擊類型分析

惡意的物聯(lián)網資產以肉雞為主，主要發(fā)動掃描和DDoS攻擊。

我們對威脅IP歷史攻擊事件數(shù)據(jù)庫中提取的惡意物聯(lián)網資產的攻擊類型字段進行統(tǒng)計，對于物聯(lián)網資產而言，多數(shù)惡意的物聯(lián)網設備都是被其他主機控制，組成僵尸網絡進行攻擊。如圖 2.1 所示，除了其他攻擊類型以外，Botnet(僵尸網絡)總量占比最多，主要做Scanners(掃描器)和DDoS攻擊。當初的Mirai事件就是黑客利用物聯(lián)網設備的弱口令等安全漏洞，主要對網絡監(jiān)控設備實施入侵，并植入惡意軟件構建僵尸網絡進行DDoS攻擊，致使被攻擊的網絡癱瘓的現(xiàn)象。

圖3  惡意物聯(lián)網資產攻擊類型數(shù)量分布

2. 設備類型分析

惡意物聯(lián)網設備中路由器和網絡攝像頭數(shù)量最多，占惡意總量90%以上。

從上圖可以看出惡意物聯(lián)網IP中路由器和網絡攝像頭兩種設備占總量的90%以上，是什么導致二者數(shù)量占比這么多呢?分析猜測有以下幾點原因。首先，從圖 4物聯(lián)網資產暴露情況來看，惡意物聯(lián)網設備類型的數(shù)量排名與暴露的數(shù)量的排名幾乎相吻合，暴露的基數(shù)越大該設備被控制的數(shù)量可能就會越多;其次，因為多數(shù)人并不知道路由器，攝像頭等物聯(lián)網設備會被大規(guī)模植入惡意軟件，所以此類設備很少有防護，而且具有常開的特性，操控者不擔心會失去連接，這為攻擊提供了很大的便利;最后也跟NTI的物聯(lián)網資產數(shù)據(jù)有關，可能因為NTI對攝像頭和路由器識別基數(shù)大，所以路由器和攝像頭的惡意資產較多。以上等等均為推測，欲知確切原因，還需要更多數(shù)據(jù)進一步佐證。

??

圖4  惡意物聯(lián)網設備類型分布情況

3. 地域分布分析

全球惡意的物聯(lián)網僵尸網絡大多數(shù)分布在人口較多的發(fā)展中國家。

印度的物聯(lián)網僵尸網絡數(shù)量最多，其次是中國和巴西，三個都是發(fā)展中國家，而且人口基數(shù)都很大，可能對路由器、攝像頭等物聯(lián)網設備需求也較多，并且一定程度上說明這些國家地區(qū)的人們對物聯(lián)網安全意識相對薄弱。

圖5  惡意物聯(lián)網設備全球分布示意圖

圖6  惡意物聯(lián)網設備國家數(shù)量分布

國內惡意的物聯(lián)網僵尸網絡主要分布在東南沿海地帶，包括長三角，珠三角和京津冀經濟帶，香港地區(qū)是重災區(qū)。

如圖 7 所示，惡意物聯(lián)網設備主要分布在東南沿海和京津冀地帶，產生這一現(xiàn)象可能是因為發(fā)達的經濟帶物聯(lián)網設備的基數(shù)本身就大，所以這些地區(qū)的惡意物聯(lián)網設備數(shù)量相對其他地區(qū)會多一些。當然這只是一種猜測，具體原因還需進一步的數(shù)據(jù)支撐和分析得出。由圖 8 可知，香港地區(qū)的惡意物聯(lián)網資產數(shù)量最多，且根據(jù)《國內物聯(lián)網資產的暴露情況分析》顯示，該地區(qū)的物聯(lián)網設備暴露情況令人堪憂，看來暴露情況和惡意情況很可能正相關。

圖7  惡意物聯(lián)網設備國內分布示意圖

圖8  惡意物聯(lián)網設備國內數(shù)量分布

4. 開放服務分析

被控制的物聯(lián)網設備大部分開放多個端口，開放最多的是WEB服務。

我們對惡意的物聯(lián)網設備開放的服務數(shù)量進行了統(tǒng)計(端口開放可能包括歷史數(shù)據(jù))，其中絕大部分開放端口為80，161，37777。通過分析惡意物聯(lián)網資產協(xié)議和默認端口的對應關系，發(fā)現(xiàn)開放最多的協(xié)議為HTTP協(xié)議(圖 10)，也就是說在惡意的物聯(lián)網設備中，開放最多的是WEB服務。

圖9  惡意物聯(lián)網設備的端口分布

圖10  惡意物聯(lián)網IP開放協(xié)議情況

三、寫在最后

當然以上都是從客觀的維度進行的分析，但是如果想找到惡意的物聯(lián)網設備，還需根據(jù)具體的網絡活動看其是否有惡意的行為，包括是否有與C&C主機連接行為和是否有攻擊行為兩個方面。如果能查到某物聯(lián)網資產與已知的C&C主機連接，該物聯(lián)網設備就有肉雞的嫌疑，而該物聯(lián)網資產有攻擊相關流量，就可以進一步確定其為肉雞。

分析了這么多，作為使用者我們該如何防止自己的物聯(lián)網設備，不被他人攻擊呢?這里結合我們的分析，簡單的總結了一些建議：

• 修改初始口令以及弱口令，加固用戶名和密碼的安全性;
• 關閉不用的端口和服務，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等，WEB服務盡可能的不暴露在公網;
• 及時升級設備固件，修復漏洞。

當然如果你對以上技術建議并不是很care，或者沒有精力做這些配置操作，但又擔心家里的物聯(lián)網設備遭受攻擊，也許你需要一款具備安全能力的路由器。根據(jù)上文的分析安全路由器應至少具備以下能力：

(1) 掃描識別能力

對接入路由器內的設備進行定期掃描，識別其設備類型、開放服務、固件版本號等信息，提示使用者關閉不必要的端口和服務，對存在高危的固件版本提示升級。

(2) 惡意行為監(jiān)測

對路由器內設備的訪問連接行為進行識別，根據(jù)威脅情報等信息對設備連接的惡意的IP或URL進行告警或阻斷，保護內網設備不被惡意主機連接控制。

隨著家庭物聯(lián)網設備種類的增多，其攻擊面也必然會越來越廣，相對于安全問題，消費者可能更會將精力放在產品的使用?？砂踩珕栴}怎么辦呢?所以如果在家庭的場景中配置一個安全路由器，讓其來輔助消費者保護家中的智能設備的安全，似乎可以很好的解決以上沖突。隨著技術的進步，人們對智能設備需求的增加，物聯(lián)網設備的攻擊面肯定不僅限于本文提到這些，所以關于安全路由器的能力可能還需進一步的挖掘和探討。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉載請通過51CTO聯(lián)系原作者獲取授權】

??戳這里，看該作者更多好文??