物聯(lián)網(wǎng)設(shè)備（路由器、攝像頭、NAS盒子和智能家居組件）每年都在成倍增長(zhǎng)。數(shù)據(jù)預(yù)計(jì)，到2030年，物聯(lián)網(wǎng)設(shè)備將超過(guò)290億臺(tái)。隨著連接設(shè)備數(shù)量的增加，防御各種威脅的需求也在增加?？ò退够钚掳l(fā)布的《2023年物聯(lián)網(wǎng)（IoT）威脅概述》為了解針對(duì)這些設(shè)備的攻擊方法、暗網(wǎng)活動(dòng)和流行的惡意軟件類型提供了重要見(jiàn)解。

一、攻擊向量

物聯(lián)網(wǎng)主要有兩種感染途徑：暴力破解弱密碼和利用網(wǎng)絡(luò)服務(wù)中的漏洞。

Telnet是一種非常流行的未加密物聯(lián)網(wǎng)文本協(xié)議，是暴力破解的主要目標(biāo)。成功破解密碼后，攻擊者可以在設(shè)備上執(zhí)行任意命令并注入惡意軟件。對(duì)使用SSH（一種更高級(jí)的通信加密協(xié)議）的服務(wù)進(jìn)行暴力破解攻擊也會(huì)產(chǎn)生類似的結(jié)果。但是，攻擊SSH需要占用更多的資源，且與Telnet相比，其可以在線訪問(wèn)的服務(wù)數(shù)量也較少。

2023年上半年，卡巴斯基蜜罐登記的密碼暴力破解嘗試中有97.91%針對(duì)Telnet，只有2.09%針對(duì)SSH。執(zhí)行這些攻擊的受感染設(shè)備大多來(lái)自印度和美國(guó)，而巴基斯坦和俄羅斯則是攻擊最活躍的國(guó)家。

【2023年上半年，攻擊卡巴斯基蜜罐最多的設(shè)備所在地TOP10榜單】

【2023年上半年，卡巴斯基蜜罐遭受攻擊次數(shù)最高的TOP10國(guó)家/地區(qū)榜單】

由于在物聯(lián)網(wǎng)設(shè)備上運(yùn)行的Telnet和SSH服務(wù)通常使用眾所周知的默認(rèn)密碼，因此暴力破解攻擊相當(dāng)常見(jiàn)。不幸的是，用戶往往不會(huì)更改這些密碼。更糟糕的是，許多物聯(lián)網(wǎng)設(shè)備的主密碼都是由制造商設(shè)置的，不可更改。

另一種入侵設(shè)備的方法是利用在設(shè)備上運(yùn)行的服務(wù)中的漏洞。在向網(wǎng)絡(luò)接口發(fā)送的請(qǐng)求中注入惡意代碼是利用漏洞的最常見(jiàn)方式。這些攻擊的后果可能非常嚴(yán)重，例如ISP用于自動(dòng)配置局域網(wǎng)設(shè)備的TR-064協(xié)議實(shí)施中的一個(gè)漏洞。該安全漏洞允許未經(jīng)認(rèn)證的TR-064數(shù)據(jù)包傳輸，從而導(dǎo)致Mirai惡意軟件的擴(kuò)散。

不過(guò)，無(wú)論采用哪種入侵技術(shù)，物聯(lián)網(wǎng)設(shè)備都可能受到來(lái)自惡意行為者自身服務(wù)器和惡意軟件所謂的“自我傳播式”攻擊，它是指惡意文件在網(wǎng)上尋找易受攻擊的設(shè)備，并通過(guò)各種手段將副本植入其中。在后一種情況下，攻擊也可能來(lái)自較早感染的物聯(lián)網(wǎng)設(shè)備。

二、暗網(wǎng)服務(wù)：DDoS攻擊、僵尸網(wǎng)絡(luò)和零日物聯(lián)網(wǎng)漏洞

卡巴斯基的研究發(fā)現(xiàn)了一個(gè)針對(duì)物聯(lián)網(wǎng)相關(guān)服務(wù)的蓬勃發(fā)展的暗網(wǎng)地下經(jīng)濟(jì)。值得注意的是，黑客們對(duì)通過(guò)物聯(lián)網(wǎng)組成的僵尸網(wǎng)絡(luò)提供的分布式拒絕服務(wù)（DDoS）攻擊需求很大。

2023年上半年，卡巴斯基數(shù)字足跡情報(bào)服務(wù)分析人員在各種暗網(wǎng)論壇上發(fā)現(xiàn)了700多條DDoS攻擊服務(wù)廣告。

【2023年上半年DDoS攻擊服務(wù)廣告（按月分布）】

這些服務(wù)的成本取決于受害者方面的DDoS保護(hù)、驗(yàn)證碼和JavaScript驗(yàn)證等因素，從每天20美元到每月10,000美元不等。廣告提供的這些服務(wù)的平均價(jià)格為每天63.5美元或每年1350美元。

暗網(wǎng)銷售的另一種服務(wù)是物聯(lián)網(wǎng)黑客。網(wǎng)絡(luò)犯罪分子尋求利用物聯(lián)網(wǎng)設(shè)備中的零日漏洞。

此外，暗網(wǎng)市場(chǎng)還提供針對(duì)物聯(lián)網(wǎng)設(shè)備中的零日漏洞的漏洞利用程序，以及與基礎(chǔ)設(shè)施和支持工具捆綁在一起的物聯(lián)網(wǎng)惡意軟件。

在下面的截圖中，供應(yīng)商提供的是一個(gè)自制的DDoS機(jī)器人，配有C2服務(wù)器和通過(guò)Telnet或SSH上傳惡意軟件的軟件：

下面是一張廣告截圖，發(fā)帖者在廣告中尋求惡意軟件和安裝幫助。

在某些情況下，賣(mài)家或買(mǎi)家指定物聯(lián)網(wǎng)設(shè)備的目標(biāo)類型。

【卡巴斯基威脅情報(bào)門(mén)戶流廣告截圖】

在極少數(shù)情況下，暗網(wǎng)論壇上也可以購(gòu)買(mǎi)到預(yù)感染設(shè)備網(wǎng)絡(luò)。不過(guò)，這種性質(zhì)的廣告并不常見(jiàn)。例如，下面截圖中的用戶正在為位于阿根廷的由200臺(tái)路由器和攝像頭組成的僵尸網(wǎng)絡(luò)尋找新的所有者。

三、攻擊物聯(lián)網(wǎng)的惡意軟件的目標(biāo)和類型

感染物聯(lián)網(wǎng)設(shè)備的惡意行為者可能存在不同的目標(biāo)，他們可能希望利用受感染的硬件作為發(fā)動(dòng)網(wǎng)絡(luò)攻擊的工具，偽裝惡意流量，利用設(shè)備資源進(jìn)行加密貨幣挖掘；或索要贖金以恢復(fù)對(duì)設(shè)備的訪問(wèn)。有些攻擊者可能會(huì)攻擊任何物聯(lián)網(wǎng)設(shè)備，而另一些攻擊者則只攻擊能夠?qū)崿F(xiàn)其目標(biāo)的某些類型的硬件。下面，我們將概述物聯(lián)網(wǎng)惡意軟件的特定目的和類型。

1. DDoS僵尸網(wǎng)絡(luò)

劫持設(shè)備并利用其發(fā)起針對(duì)各種服務(wù)的DoS攻擊的木馬程序是最常見(jiàn)的物聯(lián)網(wǎng)惡意軟件類型。對(duì)于DDoS惡意軟件而言，目標(biāo)設(shè)備的類型無(wú)關(guān)緊要，因?yàn)槊颗_(tái)設(shè)備都能實(shí)現(xiàn)攻擊者的目標(biāo)：通過(guò)網(wǎng)絡(luò)發(fā)送請(qǐng)求。盡管這些惡意程序大多源于修改過(guò)的Mirai代碼，但還有許多其他家族在傳播和獲得持久性的技術(shù)上有所差異。

例如，RapperBot雖然利用了Mirai代碼庫(kù)的一部分，但其主要由原創(chuàng)代碼組成。它的功能包括通過(guò)分析從Telnet服務(wù)接收到的身份驗(yàn)證數(shù)據(jù)初始請(qǐng)求，來(lái)實(shí)現(xiàn)智能暴力破解。惡意軟件可以使用該請(qǐng)求來(lái)識(shí)別設(shè)備類型，并繼續(xù)暴力破解僅適用于該類型的密碼，從而提高其自我傳播性能。

2. 勒索軟件

與DDoS惡意程序不同，勒索軟件主要針對(duì)包含用戶數(shù)據(jù)的物聯(lián)網(wǎng)設(shè)備：NAS盒子（NAS boxes）。2022年影響到數(shù)千臺(tái)QNAP NAS設(shè)備的DeadBolt就是物聯(lián)網(wǎng)勒索軟件的一個(gè)突出例子。該攻擊利用了CVE-2022-27593漏洞，允許惡意行為者修改盒子上的系統(tǒng)文件。用戶文件被加密，設(shè)備界面顯示一條贖金通知，要求支付0.03比特幣才能恢復(fù)數(shù)據(jù)。盡管制造商發(fā)布了解決該漏洞的更新，但類似的攻擊仍令人擔(dān)憂。

3. 挖礦程序

在Mirai活動(dòng)中，盡管物聯(lián)網(wǎng)設(shè)備的處理能力較低，但攻擊者還是試圖使用物聯(lián)網(wǎng)設(shè)備進(jìn)行比特幣挖礦。不過(guò)，由于效率相對(duì)較低，這種做法尚未普及。

4. DNS修改器

惡意行為者可能會(huì)利用物聯(lián)網(wǎng)設(shè)備來(lái)攻擊連接到它們的用戶。2022年，一個(gè)名為“漫游螳螂”（Roaming Mantis，或稱“Shaoye”）的活動(dòng)傳播了一款安卓應(yīng)用程序，其功能包括通過(guò)管理界面修改Wi-Fi路由器上的DNS設(shè)置。任何仍在使用默認(rèn)訪問(wèn)憑證（如admin:admin）的路由器都可能被感染。在這樣的設(shè)備上，配置將被修改，使其使用運(yùn)營(yíng)商的DNS服務(wù)器。然后，該服務(wù)器會(huì)將所有連接到路由器的用戶重定向到一個(gè)網(wǎng)站，該網(wǎng)站會(huì)向安卓設(shè)備上傳惡意APK文件，并在iOS設(shè)備上顯示釣魚(yú)網(wǎng)頁(yè)。

5. 代理機(jī)器人

濫用受感染物聯(lián)網(wǎng)設(shè)備的另一種普遍方式是將其用作代理服務(wù)器，重定向惡意流量，使其難以追蹤。這些代理服務(wù)器主要用于垃圾郵件活動(dòng)、規(guī)避反欺詐系統(tǒng)和各種網(wǎng)絡(luò)攻擊。

四、物聯(lián)網(wǎng)惡意軟件：競(jìng)爭(zhēng)與持續(xù)性

在物聯(lián)網(wǎng)惡意軟件領(lǐng)域，存在各種各樣的惡意軟件家族，其中許多源自2016年的Mirai One。2016年，Mira的源代碼被發(fā)布在一個(gè)暗網(wǎng)論壇上，短時(shí)間內(nèi)就出現(xiàn)了數(shù)百種修改，這些修改使用了各種DDoS技術(shù)、暴力破解字典和利用漏洞進(jìn)行自我傳播。

網(wǎng)絡(luò)罪犯之間的激烈競(jìng)爭(zhēng)推動(dòng)了他們開(kāi)發(fā)用于阻止競(jìng)爭(zhēng)對(duì)手惡意軟件的功能。其中，最常用的先發(fā)制人策略是添加防火墻規(guī)則，阻止傳入連接嘗試。關(guān)閉遠(yuǎn)程設(shè)備管理服務(wù)的情況較少。惡意軟件會(huì)搜索某些進(jìn)程名稱、掃描端口并分析設(shè)備內(nèi)存中的惡意模式，以抑制設(shè)備上已有的感染。在黑客爭(zhēng)奪設(shè)備控制權(quán)時(shí)，與競(jìng)爭(zhēng)對(duì)手相關(guān)的進(jìn)程會(huì)被終止，文件也會(huì)被刪除。

五、物聯(lián)網(wǎng)設(shè)備缺乏安全性而引發(fā)的其他威脅

攻擊者對(duì)聯(lián)網(wǎng)攝像頭表現(xiàn)出了濃厚的興趣，這一點(diǎn)在購(gòu)買(mǎi)和出售受感染物聯(lián)網(wǎng)設(shè)備訪問(wèn)權(quán)的廣告中得到了印證。通過(guò)非法訪問(wèn)網(wǎng)絡(luò)攝像頭的盈利方式多種多樣。鑒于其CPU功率，攝像頭可能會(huì)被黑客攻擊，用于挖掘加密貨幣，或安裝DDoS工具。攝像頭還可被用作路由器（代理或VPN服務(wù)器），以匿名處理非法流量。一些黑客甚至把它們用作網(wǎng)絡(luò)攝像頭。

安全研究員Paul Marrapese研究了消費(fèi)者網(wǎng)絡(luò)攝像頭領(lǐng)域，發(fā)現(xiàn)其中的安全漏洞并不少見(jiàn)。遺憾的是，供應(yīng)商本可以做得更好。Paul發(fā)現(xiàn)了某些網(wǎng)絡(luò)攝像頭型號(hào)的固件和協(xié)議中的關(guān)鍵漏洞，但涉事供應(yīng)商甚至沒(méi)有回過(guò)頭來(lái)討論修復(fù)問(wèn)題。

值得一提的是，此類攝像機(jī)的制造商通常采用各種點(diǎn)對(duì)點(diǎn)（P2P）協(xié)議的實(shí)現(xiàn)方式，與其他多臺(tái)設(shè)備共享協(xié)議。這些協(xié)議要么對(duì)流量加密不力，要么根本不進(jìn)行加密，從而使設(shè)備暴露于中間人（MitM）攻擊之下。攻擊者可以輕松地竊聽(tīng)設(shè)備流量，竊取用戶憑證或重定向視頻流。

根據(jù)趨勢(shì)科技的一項(xiàng)研究表明，偷窺攝像頭所有者私生活的情況絕非罕見(jiàn)。然而，值得注意的是，除了攝像頭，其他各種物聯(lián)網(wǎng)設(shè)備也可能用于窺探。例如，盡管它們的主要功能與視頻監(jiān)控?zé)o關(guān)，但市場(chǎng)上大多數(shù)智能寵物喂食器都能捕捉實(shí)時(shí)音頻和視頻片段。雖然它們的受歡迎程度正在不斷攀升，新型號(hào)也在不斷推出，以滿足日益增長(zhǎng)的需求，但供應(yīng)商往往忽視了對(duì)這些設(shè)備的適當(dāng)保護(hù)。

近日，卡巴斯基研究人員對(duì)一種流行的智能喂食器型號(hào)進(jìn)行了測(cè)試，并發(fā)現(xiàn)其中存在大量安全漏洞。利用這些漏洞，除了為黑客創(chuàng)造其他機(jī)會(huì)外，該設(shè)備還可用于監(jiān)視寵物主人。

兒童智能設(shè)備是另一類需要強(qiáng)化安全性的物聯(lián)網(wǎng)設(shè)備。遺憾的是，一些供應(yīng)商并沒(méi)有認(rèn)真對(duì)待這一點(diǎn)。當(dāng)一家智能手表制造商委托卡巴斯基使用工業(yè)物聯(lián)網(wǎng)聯(lián)盟開(kāi)發(fā)的“物聯(lián)網(wǎng)安全成熟度模型”方法進(jìn)行產(chǎn)品安全成熟度評(píng)估時(shí)，徹底暴露了設(shè)備缺乏安全性的情況。這些安全問(wèn)題已經(jīng)嚴(yán)重到足以將產(chǎn)品轉(zhuǎn)化為監(jiān)視兒童及其周圍環(huán)境的監(jiān)控工具。

安全性不足的問(wèn)題困擾著消費(fèi)和工業(yè)物聯(lián)網(wǎng)設(shè)備。后者也可能存在基本的安全漏洞，并且供應(yīng)商推薦的設(shè)置可能不安全。

工業(yè)物聯(lián)網(wǎng)設(shè)備中最常見(jiàn)的配置問(wèn)題是使用默認(rèn)密碼。例如，一家用于將電梯設(shè)備連接到控制室監(jiān)控系統(tǒng)的媒體轉(zhuǎn)換器制造商，在服務(wù)文檔中提供了這些設(shè)備以及極不安全的連接和配置提示。更糟糕的是，研究人員還發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備本身也存在漏洞，即使是技術(shù)不嫻熟的黑客也可以利用這些漏洞完全控制轉(zhuǎn)換器。

這并不意味著所有物聯(lián)網(wǎng)設(shè)備都不安全，只是某些供應(yīng)商忽視了安全開(kāi)發(fā)文化。我們衷心希望所有面向消費(fèi)者和工業(yè)用戶的物聯(lián)網(wǎng)設(shè)備供應(yīng)商都能盡可能優(yōu)先考慮其產(chǎn)品的網(wǎng)絡(luò)安全。

六、結(jié)論及建議

物聯(lián)網(wǎng)設(shè)備吸引黑客的原因有很多：它們可被用于進(jìn)行DDoS攻擊、偽裝流量，或者通過(guò)內(nèi)置網(wǎng)絡(luò)攝像頭窺探所有者。同樣地，NAS盒子和路由器也可能成為勒索軟件團(tuán)伙的攻擊目標(biāo)，他們的目標(biāo)是連接到NAS盒子和路由器的設(shè)備，包括公共Wi-Fi網(wǎng)絡(luò)上的智能手機(jī)或受害者局域網(wǎng)上的其他設(shè)備。

除了無(wú)情地攻擊物聯(lián)網(wǎng)外，黑客還在暗網(wǎng)市場(chǎng)上提供服務(wù)。也就是說(shuō)，由于使用默認(rèn)密碼和設(shè)備漏洞的存在，大多數(shù)聯(lián)網(wǎng)設(shè)備（包括工業(yè)環(huán)境中的設(shè)備）仍然很容易成為遭受攻擊，其中一些漏洞供應(yīng)商從未著手進(jìn)行修復(fù)。家庭和工業(yè)用物聯(lián)網(wǎng)設(shè)備的供應(yīng)商都應(yīng)對(duì)產(chǎn)品網(wǎng)絡(luò)安全采取負(fù)責(zé)任的態(tài)度，并在產(chǎn)品設(shè)計(jì)階段引入保護(hù)措施。

為保護(hù)工業(yè)和消費(fèi)者物聯(lián)網(wǎng)設(shè)備的安全，卡巴斯基專家建議：

• 對(duì)OT系統(tǒng)進(jìn)行定期的安全評(píng)估，以發(fā)現(xiàn)和消除可能存在的漏洞；
• 使用ICS網(wǎng)絡(luò)流量監(jiān)控、分析和檢測(cè)解決方案，更好地抵御可能威脅技術(shù)流程和主要企業(yè)資產(chǎn)的攻擊；
• 確保對(duì)工業(yè)端點(diǎn)以及企業(yè)端點(diǎn)進(jìn)行保護(hù)；
• 在部署物聯(lián)網(wǎng)設(shè)備之前評(píng)估設(shè)備的安全狀態(tài)。應(yīng)優(yōu)先考慮具有網(wǎng)絡(luò)安全證書(shū)的設(shè)備以及更注重信息安全的制造商的產(chǎn)品；
• 對(duì)于智能家居設(shè)備，不要忘記更改默認(rèn)密碼。請(qǐng)使用嚴(yán)格、復(fù)雜的密碼并定期更新；
• 不要在社交網(wǎng)絡(luò)上分享有關(guān)智能設(shè)備的序列號(hào)、IP地址和其他敏感信息；
• 注意并隨時(shí)查看已發(fā)現(xiàn)的物聯(lián)網(wǎng)設(shè)備漏洞的最新信息。

原文鏈接：https://securelist.com/iot-threat-report-2023/110644/