前言

在F5實驗室最新發(fā)布的??物聯(lián)網(wǎng)安全報告??中，分析了2018年1月至6月期間全球物聯(lián)網(wǎng)(IoT)設(shè)備受攻擊的數(shù)據(jù)，涵蓋物聯(lián)網(wǎng)設(shè)備使用的主流服務(wù)和20個端口的分析數(shù)據(jù)。

以下是從2018年1月1日到6月30日基于收集的數(shù)據(jù)得出的結(jié)果概要：

• 物聯(lián)網(wǎng)設(shè)備已成為網(wǎng)絡(luò)惡意活動的頭號目標，受到的攻擊數(shù)量遠超Web和應(yīng)用程序服務(wù)器、電子郵件服務(wù)器和數(shù)據(jù)庫。
• 遠程登陸攻擊占比下降，原因在于通過23端口監(jiān)聽的物聯(lián)網(wǎng)設(shè)備已被Thingbot僵尸網(wǎng)絡(luò)移除。
• 今年3月，針對每個受監(jiān)聽端口的攻擊流量劇增?；趯袅髁康慕馕?，其中84%來自電信運營商，因此可推測電信運行商掌握的物聯(lián)網(wǎng)設(shè)備中有不少已被僵尸網(wǎng)絡(luò)感染。
• 針對物聯(lián)網(wǎng)設(shè)備的攻擊類型，SSH爆破攻擊排第一，其次是遠程登陸。
• 來自伊朗和伊拉克的IP地址首次進入攻擊IP地址列表前50名。
• 攻擊IP地址列表前50名都是新面孔，在上一篇報告中前50個攻擊IP中74%曾經(jīng)出現(xiàn)過。也就是說，之前受感染的設(shè)備可能被全部清理了。
• 西班牙是受攻擊最嚴重的國家，受攻擊的數(shù)量占比高達80%。在過去一年半的時間里，西班牙一直是“穩(wěn)坐第一”。顯然，西班牙的物聯(lián)網(wǎng)安全存在基礎(chǔ)性和結(jié)構(gòu)性的問題。
• 巴西、中國、日本、波蘭和美國是主要的攻擊來源國。

概述

F5實驗室在2018年上半年共監(jiān)控到13個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，2016年為9個，2017年為6個，僵尸網(wǎng)絡(luò)形成的增速驚人。F5實驗室監(jiān)控僵尸網(wǎng)絡(luò)中的設(shè)備類型、感染途徑、以及發(fā)現(xiàn)手段，以下是這13個僵尸網(wǎng)絡(luò)的概況：

• VPN Filter：收集用戶憑據(jù)，安裝網(wǎng)絡(luò)嗅探器以監(jiān)控ICS協(xié)議，最后安裝tor節(jié)點。
• Wicked：目標對象為SOHO路由器、CCTV和DVR，安裝SORA和OWARI，兩者都是提供“租用服務(wù)”的僵尸網(wǎng)絡(luò)。
• Roaming Mantis：寄生在Wi-Fi路由器以及Android和iOS手機，并在受感染的設(shè)備上進行DNS劫持和地雷加密貨幣。
• Omni：危害GPON家用路由器，用于加密或DDoS攻擊。
• UPnProxy：掃描SOHO路由器并安裝可繞過訪問控制的代理服務(wù)器，之后發(fā)起：垃圾郵件和網(wǎng)絡(luò)釣魚活動;點擊欺詐;賬戶接管和信用卡欺詐;DDoS攻擊;安裝其他僵尸網(wǎng)絡(luò);分發(fā)惡意軟件。
• OWARI：接管SOHO路由器，作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租。
• SORA：接管SOHO路由器，作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租。
• DoubleDoor：目標對象為受瞻博網(wǎng)絡(luò)家庭防火墻保護的SOHO路由器，可在目標設(shè)備上安裝代理服務(wù)器，發(fā)起多種類型的攻擊。
• OMG：接管SOHO路由器、無線IP攝像機和DVR，安裝代理服務(wù)器，可發(fā)起多種類型的攻擊。
• JenX：入侵SOHO路由器和無線芯片組，發(fā)起DDoS攻擊。JenX是一種DDoS-for-Hire服務(wù)，以20美元的價格提供300Gbps攻擊。
• Hide’n Seek：接管IP攝像機，能夠發(fā)起的攻擊類型目前未知。
• Pure Masuta：目標對象為家用路由器，能夠發(fā)起的攻擊類型目前未知。
• Masuta：接管家用路由器并發(fā)動DDoS攻擊。

受感染數(shù)量最多的物聯(lián)網(wǎng)設(shè)備依次為SOHO路由器、IP攝像機、DVR和CCTV。

??

圖1：過去10年僵尸網(wǎng)絡(luò)感染的設(shè)備類型分布

以往物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)最常見的攻擊類型是對目標對象發(fā)起DDoS，在2018年形勢發(fā)生了變化。僵尸網(wǎng)絡(luò)的掌控者開始轉(zhuǎn)向DDoS多用途攻擊“服務(wù)”的出租，安裝代理服務(wù)器用于發(fā)動指定類型的惡意攻擊，安裝節(jié)點和數(shù)據(jù)包嗅探器發(fā)起PDoS攻擊，DNS劫持、憑證收集、憑證填充和欺詐木馬等惡意活動。

??

圖2：在過去10年中，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)起的惡意活動類型分布

構(gòu)建物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主流方法是在互聯(lián)網(wǎng)上對全球范圍內(nèi)的設(shè)備進行，查找開放的遠程服務(wù)，比如說物聯(lián)網(wǎng)領(lǐng)域?qū)Ｓ玫腍NAP、UPnP、SOAP、CVE，以及一些TCP端口。

??

圖3：過去10年中，感染方式分布

研究報告指出，蜂窩物聯(lián)網(wǎng)網(wǎng)關(guān)與傳統(tǒng)的有線和無線物聯(lián)網(wǎng)設(shè)備一樣脆弱，尤其是物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)設(shè)備都很容易受到身份驗證攻擊。報告指出，62%的被測設(shè)備易受基于弱密碼和默認憑證的遠程訪問攻擊。這些設(shè)備被用于構(gòu)建帶外網(wǎng)絡(luò)、創(chuàng)建網(wǎng)絡(luò)后門、進行網(wǎng)絡(luò)間諜活動、實施中間人攻擊、DNS劫持等。

“最受歡迎”的物聯(lián)網(wǎng)設(shè)備端口前20名

??

大多數(shù)物聯(lián)網(wǎng)設(shè)備已從Telnet轉(zhuǎn)為使用SSH進行遠程管理，而SOHO路由器、電視機、游戲機和ICS等物聯(lián)網(wǎng)設(shè)備已經(jīng)使用80端口很久了。智能電視和游戲機會定期啟動網(wǎng)絡(luò)服務(wù)器，使用UPnP管理自動打開SOHO路由器或防火墻的端口。Radiation、Reaper和Wicked均瞄準了HTTP協(xié)議的80、81和8080端口。

??

圖4：受攻擊數(shù)量最多的20個IoT設(shè)備端口的時間分布

十大攻擊目標國家和地區(qū)

西班牙自2017年第一季度以來一直穩(wěn)坐物聯(lián)網(wǎng)惡意活動“最受歡迎的”目標國家，2018年1月1日至6月30日期間遭到的攻擊流量占比高達80%，該數(shù)據(jù)直接反映出西班牙物聯(lián)網(wǎng)資產(chǎn)的脆弱程度。

在過去一年半的時間里，匈牙利在受攻擊最多的國家中也占據(jù)了一席之地。排在前三位的其他國家是美國、俄羅斯和新加坡。

十大攻擊源國家和地區(qū)

2018年1月1日至6月30日期間，來自巴西的流量最多，該總攻擊流量的18%，這可能與前段事件巴西國內(nèi)大量路由器遭到劫持有關(guān)。排在巴西之后的是我國。

來自日本的攻擊流量從2017年第三季度和第四季度的占總攻擊流量的1%大幅上升到2018年第一季度和第二季度總攻擊流量的9%。波蘭和伊朗的2018年第一季度和第二季度數(shù)據(jù)也值得關(guān)注，在過去的兩年半中，這兩個國家僅排在前十名上下，這兩個國家在2017年第一季度和第二季度中發(fā)起的攻擊占比不到1%。

??

表3：過去兩年中排名前10位的攻擊來源國家和地區(qū)

排名前50的攻擊IP地址

以下排名前50的攻擊IP地址按攻擊流量由高到底排列。該列表中的所有 IP地址都是新出現(xiàn)的。這種情況有幾種可能：以前受感染設(shè)備被全網(wǎng)清理;新的頂級玩家興起;被監(jiān)控設(shè)備的所有者將惡意活動轉(zhuǎn)移到了新系統(tǒng)。

這一時期最明顯的變化是來自伊朗和伊拉克的IP地址數(shù)量激增。

??

??

??

??

??

排名前50強的攻擊IP所處行業(yè)

攻擊中的大多數(shù)來自電信和ISP公司，這些公司為物聯(lián)網(wǎng)設(shè)備所在的海量家庭、辦公室和園區(qū)提供互聯(lián)網(wǎng)服務(wù)。一旦物聯(lián)網(wǎng)設(shè)備被感染，它就會被用來掃描其他物聯(lián)網(wǎng)設(shè)備來傳播惡意軟件， 大多數(shù)分布式掃描模型并且還用于攻擊。因此，電信/互聯(lián)網(wǎng)服務(wù)提供商產(chǎn)生了大部分物聯(lián)網(wǎng)攻擊流量這個結(jié)果在意料之中。如果托管服務(wù)提供商的攻擊流量明顯增加，表明攻擊者正在構(gòu)建新的僵尸網(wǎng)絡(luò)。

??

產(chǎn)業(yè)安全展望

當Mirai僵尸網(wǎng)絡(luò)以雷霆之勢橫掃全球時，相應(yīng)的防御措施和行動可謂寒心。想要擊垮Mirai，存在以下幾個難點：許多受感染的物聯(lián)網(wǎng)設(shè)備(1)無法進行固件更新，(2)用戶技術(shù)有限，(3)廠商沒有動力更新固件、設(shè)備或切斷與受感染設(shè)備的連接，因為這同時會中斷服務(wù)。

自Mirai源代碼公開以來，它已經(jīng)以Annie、Satori/Okiru、Persirai、Masuta、Pure Masuta、OMG、SORA、OWARI、Omni和Wicked的面貌重生過10次。Mirai本體威脅仍然迫在眉睫，它的兄弟姐們的手段更是五花八門，不僅僅能夠發(fā)動DDoS攻擊，部署代理服務(wù)器、挖礦腳本、安裝其他僵尸網(wǎng)絡(luò)程序供”出租“等更是不在話下。這也導致了自2017年12月30日F5實驗室報告Mirai增長以來，世界各地的Mirai惡意軟件感染地區(qū)(黃點)明顯增長。

地圖上的每個點代表Mirai感染設(shè)備的緯度和經(jīng)度坐標。紅點代表“掃描器”節(jié)點，用于搜索其他易受感染的物聯(lián)網(wǎng)設(shè)備。黃點表示可以獲被植入最新的惡意軟件的托管系統(tǒng)。

總結(jié)

物聯(lián)網(wǎng)設(shè)備現(xiàn)在要以十億計算，現(xiàn)有的安全標準(或壓根沒有安全標準)應(yīng)用全球的威脅態(tài)勢早已無用，形勢難以逆轉(zhuǎn)。

未來可以預(yù)見：

• 惡意挖礦軟件在物聯(lián)網(wǎng)系統(tǒng)中的傳播途徑更加多樣化，如SOHO路由器、游戲機等。
• 勒索軟件向要害設(shè)施和機構(gòu)進發(fā)，尤其是工業(yè)控制系統(tǒng)、機場、醫(yī)院、ATM等。
• 更多包含網(wǎng)絡(luò)后門的物聯(lián)網(wǎng)系統(tǒng)出現(xiàn)，如蜂窩網(wǎng)關(guān)、暖通空調(diào)系統(tǒng)、恒溫器、IP攝像機、自動售貨機、咖啡機等。這些設(shè)備受感染后可監(jiān)視和竊取受數(shù)據(jù)和知識產(chǎn)權(quán)(IP)保住的資產(chǎn)。
• 針對工業(yè)控制系統(tǒng)的間諜軟件興起。
• 針對國家關(guān)鍵工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)戰(zhàn)，包括物理滲透和間諜活動。

這些趨勢將為部署物聯(lián)網(wǎng)設(shè)備的組織造成重大損失。可以說物聯(lián)網(wǎng)安全已經(jīng)到了危急關(guān)頭，每家公司、每個組織都需要為物聯(lián)網(wǎng)攻擊做好準備，每個用戶也要站出來保護自己的家園。物聯(lián)網(wǎng)產(chǎn)業(yè)體系的產(chǎn)品先行之風要煞一煞，用安全賦能物聯(lián)網(wǎng)。