前言

網(wǎng)絡(luò)犯罪分子對物聯(lián)網(wǎng)設(shè)備的興趣一直在增長：在 2018 上半年，我們觀察到的 IoT 惡意軟件樣本的數(shù)量是 2017 年全年的三倍。而 2017 年的數(shù)字則是 2016 年的 10 倍。這一趨勢對于未來而言不容樂觀。

因此在這里我們研究了以下三個問題：

• 網(wǎng)絡(luò)犯罪分子感染智能設(shè)備的攻擊向量;
• 哪些惡意軟件被加載到用戶的系統(tǒng)中;
• 最新的僵尸網(wǎng)絡(luò)對設(shè)備所有者和受害者來說意味著什么。

2016 年 – 2018 年，卡巴斯基實(shí)驗(yàn)室收集到的 IoT 惡意軟件樣本的數(shù)量

最流行的攻擊和感染向量仍然是針對 Telnet 密碼的暴力破解攻擊。在 2018 年第二季度，我們的蜜罐記錄的此類攻擊的數(shù)量是其它類型攻擊數(shù)量總和的三倍還要多。

在將惡意軟件下載到物聯(lián)網(wǎng)設(shè)備上時，網(wǎng)絡(luò)犯罪分子的首選項(xiàng)是Mirai家族( 20.9% )。

成功破解 Telnet 密碼后下載到 IoT 設(shè)備上的惡意軟件 Top10

以下是我們記錄到的 Telnet 攻擊最多的國家的 Top 10 ：

2018 年第二季度，受感染設(shè)備數(shù)量的地理分布

如圖所示， 2018 年第二季度發(fā)起 Telnet 攻擊的 IP 地址(唯一)數(shù)量最多的國家是巴西( 23% )，第二名是中國( 17% )。俄羅斯排名第四( 7% )。在整個 2018 年 1 月至 7 月期間，我們的 Telnet 蜜罐共記錄到來自 86560 個 IP 地址(唯一)的超過 1200 萬次攻擊，并且從 27693 個 IP 地址(唯一)下載了惡意軟件。

由于一些智能設(shè)備的所有者修改了默認(rèn)的 Telnet 密碼并使用復(fù)雜的密碼，而許多小工具根本不支持這種協(xié)議，因此網(wǎng)絡(luò)犯罪分子一直在尋找新的感染向量。這一情況還受到惡意軟件開發(fā)者之間的競爭所推動(他們之間的競爭導(dǎo)致了暴力破解攻擊效率越來越低)：一旦成功破解了 Telnet 密碼，攻擊者就會更改設(shè)備的密碼并阻止對 Telnet 的訪問。

僵尸網(wǎng)絡(luò) Reaper 就是一個使用“替代技術(shù)”的很好的例子，它在 2017 年底感染了約 200 萬個 IoT 設(shè)備。該僵尸網(wǎng)絡(luò)并沒有采用 Telnet 暴力破解攻擊，而是利用已知的軟件漏洞進(jìn)行傳播：

• D-Link 850L路由器固件中的漏洞
• GoAhead網(wǎng)絡(luò)攝像機(jī)中的漏洞
• MVPower CCTV攝像機(jī)中的漏洞
• Netgear ReadyNASSurveillance中的漏洞
• Vacron NVR中的漏洞
• Netgear DGN設(shè)備中的漏洞
• Linksys E1500/E2500路由器中的漏洞
• D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞
• AVTech 設(shè)備中的漏洞

與暴力破解相比，這種傳播方法具有以下優(yōu)點(diǎn)：

• 能更快地感染設(shè)備;
• 對用戶而言，打補(bǔ)丁遠(yuǎn)比修改密碼或禁用服務(wù)要難得多。

盡管這種方法的實(shí)施難度更高，許多惡意軟件作者已經(jīng)開始青睞這種方法。很快就會出現(xiàn)利用智能設(shè)備軟件中的已知漏洞的新木馬。

一、新的攻擊，舊的惡意軟件

為了觀察惡意軟件針對了哪些漏洞，我們分析了企圖連接到我們蜜罐的不同端口的數(shù)據(jù)。下表是 2018 年第二季度的數(shù)據(jù)：

絕大多數(shù)攻擊仍然是針對Telnet和SSH密碼的暴力破解攻擊。第三大最常見的攻擊是針對SMB服務(wù)(文件遠(yuǎn)程訪問服務(wù))的攻擊。我們還沒有觀察到針對該服務(wù)的IoT惡意軟件。 無論如何，某些版本的SMB中包含嚴(yán)重的已知漏洞，如永恒之藍(lán)(Windows)和永恒之紅(Linux)。舉個例子，臭名昭著的勒索軟件 WannaCry和門羅幣礦工 EternalMiner就利用了這些漏洞。

下表是 2018 年第二季度攻擊我們蜜罐的受感染 IoT 設(shè)備的類型分布：

我們可以看到，運(yùn)行 RouterOS 的 MikroTik 設(shè)備在列表中一騎絕塵，其原因應(yīng)該是 Chimay-Red 漏洞。有趣的是，列表中還包括 33 個美諾洗碗機(jī)(占攻擊總數(shù)的 0.68% )。它們很可能是通過其固件中的 PST10web 服務(wù)器漏洞 CVE-2017-7240被感染的(該漏洞于 2017 年 3 月公開)。

1. 端口7547

針對端口 7547 上的遠(yuǎn)程設(shè)備管理服務(wù)( TR-069 協(xié)議)的攻擊十分常見。根據(jù) Shodan 的查詢結(jié)果，全世界有超過 4000 萬臺設(shè)備的這個端口是打開的。這還是在該漏洞最近導(dǎo)致約 100 萬德國電信路由器被感染，更不用說用于分發(fā)惡意軟件家族 Mirai 和 Hajime 之后。

另一類攻擊則是利用了運(yùn)行 RouterOS 版本 6.38.4 之下的 MikroTik 路由器中的漏洞 Chimay-Red。在 2018 年 3 月，該攻擊被積極用于分發(fā) Hajime 。

2. 網(wǎng)絡(luò)攝像機(jī)

網(wǎng)絡(luò)犯罪分子也沒有忽視網(wǎng)絡(luò)攝像機(jī)。 2017 年 3 月研究人員在 GoAhead 設(shè)備的軟件中發(fā)現(xiàn)了幾個嚴(yán)重的漏洞。在相關(guān)信息被披露的一個月后，利用這些漏洞的 Gafgyt 和 Persirai 木馬新變體出現(xiàn)了。僅在一周內(nèi)，這些惡意程序就積極感染了 57000 個設(shè)備。

2018 年 6 月 1 日， XionMaiuc-httpd web 服務(wù)器中的漏洞( CVE-2018-10088 )的相關(guān)PoC被公開。該產(chǎn)品被用于一些中國制造的智能設(shè)備之中(如 KKMoonDVRs )。一天之內(nèi)，針對這些設(shè)備的有記錄的掃描嘗試增至三倍。這一激增的罪魁禍?zhǔn)拙褪?Satori 木馬，其以之前針對GPON路由器的攻擊而聞名。

二、終端用戶面臨的新惡意軟件和威脅

1. DDoS攻擊

與以前一樣，物聯(lián)網(wǎng)惡意軟件的主要目的是進(jìn)行 DDoS 攻擊。受感染的智能設(shè)備成為僵尸網(wǎng)絡(luò)的一部分，根據(jù)相關(guān)命令攻擊一個指定的地址，耗盡該主機(jī)用于處理真實(shí)用戶請求的資源和能力。木馬家族 Mirai 及其變體(尤其是 Hajime )仍在部署此類攻擊。

這可能是對終端用戶危害最小的情況了。最壞情況(很少發(fā)生)也就是受感染設(shè)備的擁有者被 ISP 拉黑。而且通常情況下簡單地重啟設(shè)備就可以“治愈”該設(shè)備。

2. 加密貨幣挖掘

另一類有效荷載與加密貨幣有關(guān)。例如， IoT 惡意軟件可以在受感染設(shè)備上安裝惡意礦工。但是鑒于智能設(shè)備的算力很低，這種攻擊的可行性還是一個疑問，即使它們的數(shù)量可能很大。

Satori 木馬的創(chuàng)建者發(fā)明了一種更為狡猾和可行的獲取加密貨幣的方法。他將受感染的 IoT 設(shè)備作為訪問高性能計(jì)算機(jī)的一種鑰匙：

第一步，攻擊者首先試圖利用已知漏洞感染盡可能多的路由器，這些漏洞包括：

• CVE-2014-8361–Realtek SDK 的 miniigd SOAP 服務(wù)中的遠(yuǎn)程代碼執(zhí)行漏洞
• CVE 2017-17215– 華為 HG532 系列路由器固件中的遠(yuǎn)程代碼執(zhí)行漏洞
• CVE-2018-10561, CVE-2018-10562–Dasan GPON 路由器中的身份認(rèn)證繞過漏洞和任意代碼執(zhí)行漏洞
• CVE-2018-10088–XiongMai uc-httpd 1.0.0 中的緩沖區(qū)溢出漏洞，該產(chǎn)品被用于部分中國制造的路由器和智能設(shè)備的固件中

第二步，利用受感染的路由器和以太坊挖礦軟件 Claymore 的遠(yuǎn)程管理工具中的漏洞 CVE-2018-1000049，將錢包地址替換成自己的。

3. 數(shù)據(jù)竊取

在 2018 年 5 月檢測到的 VPNFilter木馬則追求其它的目標(biāo)。它首先攔截受感染設(shè)備的流量，然后從中提取重要的數(shù)據(jù)(用戶名、密碼等)并發(fā)送到網(wǎng)絡(luò)犯罪分子的服務(wù)器。下面是 VPNFilter 的主要功能：

• 模塊化架構(gòu)。該惡意軟件的創(chuàng)建者可隨時添加新的功能。例如， 2018 年 6 月初檢測到一個用于向截獲的網(wǎng)頁注入 JavaScript 代碼的新模塊。
• 自啟動機(jī)制。該木馬將自己寫入標(biāo)準(zhǔn) Linux 計(jì)劃任務(wù)程序 crontab ，還可以修改設(shè)備的非易失性存儲器( NVRAM )中的配置設(shè)置。
• 使用 TOR 與 C&C 服務(wù)器進(jìn)行通信。
• 能夠自毀并使設(shè)備“變磚”。一旦接收到相關(guān)命令，該木馬就會自我刪除并用垃圾數(shù)據(jù)覆蓋固件的關(guān)鍵部分，然后重啟設(shè)備。

該木馬的傳播方法仍然未知：其代碼中沒有包含自我傳播機(jī)制。無論如何，我們傾向于認(rèn)為它通過利用設(shè)備軟件中的已知漏洞來感染設(shè)備。

第一份關(guān)于VPNFilter的報(bào)告稱其感染了約 50 萬個設(shè)備。從那時起，更多的設(shè)備被感染了，并且易受攻擊的設(shè)備廠商列表大大加長了。到六月中旬，其目標(biāo)包括以下品牌的設(shè)備：

• ASUS
• D-Link
• Huawei
• Linksys
• MikroTik
• Netgear
• QNAP
• TP-Link
• Ubiquiti
• Upvel
• ZTE

由于這些廠商的設(shè)備不僅在公司網(wǎng)絡(luò)中使用，而且常被用作家用路由器，這使得情況變得更糟。

三、結(jié)論

智能設(shè)備正在崛起， 有人預(yù)測稱 2020 年智能設(shè)備的數(shù)量將超過世界總?cè)丝跀?shù)量的好幾倍。然而廠商們還是沒有重視設(shè)備的安全性：在設(shè)備初始化設(shè)置過程中，他們沒有提醒用戶去修改默認(rèn)密碼;他們也沒有向用戶發(fā)布關(guān)于新固件版本的通知;甚至更新過程本身對普通用戶而言都顯得十分復(fù)雜。這使得物聯(lián)網(wǎng)設(shè)備成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)，甚至比個人計(jì)算機(jī)更容易受到感染。物聯(lián)網(wǎng)設(shè)備通常在家庭基礎(chǔ)設(shè)施中扮演了一個重要的角色：有些用于管理網(wǎng)絡(luò)流量，有些用于拍攝監(jiān)控視頻，還有一些用于控制家用設(shè)備(如空調(diào)等)。

針對智能設(shè)備的惡意軟件不僅在數(shù)量上增長，而且在質(zhì)量上也在增長。越來越多的 exploits (漏洞利用程序)被網(wǎng)絡(luò)犯罪分子開發(fā)出來。而除了傳統(tǒng)的 DDoS 攻擊之外，被感染的設(shè)備還被用于竊取個人數(shù)據(jù)和挖掘加密貨幣。

下面是一些可以幫助減少智能設(shè)備感染風(fēng)險的小技巧：

• 除非絕對必要，否則禁止從外部網(wǎng)絡(luò)訪問設(shè)備;
• 定期重啟有助于清除已感染的惡意軟件(盡管大多數(shù)情況下還存在再次感染的風(fēng)險);
• 定期檢查是否存在新版本的固件并進(jìn)行更新;
• 使用復(fù)雜密碼(長度至少為 8 位，包含大小寫字母、數(shù)字和特殊字符);
• 在初始設(shè)置時更改出廠密碼(即使設(shè)備未提示您這樣做);
• 如果選項(xiàng)存在，則關(guān)閉 / 禁用不使用的端口。例如，如果您不打算通過 Telnet (占用 TCP 端口 23 )連接到路由器，則最好禁用該端口以降低被入侵的風(fēng)險。

原文鏈接：https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/