F5 Networks發(fā)表了“獵殺IoT”(The Hunt for
IoT)系列報告第四集����,該研究分析了全球IoT裝置在2017年7月1日至12月31日期間所遭受的Telnet攻擊�。該證據(jù)顯示殭尸物聯(lián)網(wǎng)的成長與進化勢必將帶來混亂與混亂。
F5 Networks發(fā)表了“獵殺IoT”(The Hunt for
IoT)系列報告第四集��,該研究分析了全球IoT裝置在2017年7月1日至12月31日期間所遭受的Telnet攻擊�。該證據(jù)顯示殭尸物聯(lián)網(wǎng)的成長與進化勢必將帶來混亂與混亂。
根據(jù)創(chuàng)新擴散理論(Diffusion of
Innovation)����,目前尚未跨越鴻溝到達物聯(lián)網(wǎng)(IoT)主流市場采納(目前的部署數(shù)量為84億�����,預(yù)測2020年將達200~300億�,2035年達到1兆)�。被駭?shù)腎oT裝置試圖跨越鴻溝到未來,未來應(yīng)該是光明且自動化的����,但如果不處理好威脅問題的話,未來愿景將無法實現(xiàn)�。
F5
Labs與其數(shù)據(jù)合作伙伴Loryka一起追蹤了兩年的“獵殺IoT”。主要圍繞23端口Telnet暴力攻擊����,因為它們是破壞物聯(lián)網(wǎng)設(shè)備最簡單、最常見危及物聯(lián)網(wǎng)設(shè)備的安全的方式����。從技術(shù)的角度來看,他們只需要在攻擊計劃中采取更多步驟���,并且針對非標準端口和協(xié)議����、特定制造商、設(shè)備類型或型號��,就可以全面發(fā)動攻擊���。例如����,至少有4,600萬個家庭路由器容易受到攻擊��。
我們已經(jīng)目睹了攻擊者正在演變他們的手段和目標市場�,以便像合法企業(yè)和金融市場那樣透過妥協(xié)的物聯(lián)網(wǎng)設(shè)備來賺錢��。
該研究也發(fā)現(xiàn)��,有新的威脅網(wǎng)絡(luò)和IP地址不斷地加入物聯(lián)網(wǎng)狩獵行列���,成為新威脅參與者�����,并且隨著時間的推移�����,已經(jīng)演變?yōu)橐恢鹿泊娴捻敿壨{參與者��。它們可能使用受歡迎的網(wǎng)絡(luò)如托管服務(wù)提供商���,或電信網(wǎng)絡(luò)中的住宅物聯(lián)網(wǎng)設(shè)備�,利用家庭路由器��、無線IP攝影機和DV
R透過Telnet進行攻擊����,并發(fā)起DDoS攻擊。
殭尸物聯(lián)網(wǎng)的威脅持續(xù)存在
經(jīng)過兩年的數(shù)據(jù)分析后���,仍然看到同樣的威脅IP���、網(wǎng)絡(luò)和國家在發(fā)動攻擊。這代表若不是惡意流量未被處理���,否則就是遭感染的IoT裝置沒有接受凈化����,要不然不會一再地看到相同的威脅者。這些攻擊建立了強大的殭尸物聯(lián)網(wǎng)��,具備發(fā)動全球毀滅性攻擊的能力�����,而安全產(chǎn)業(yè)也越來越頻繁的發(fā)現(xiàn)它們�����,如圖1所示���。
▲ 圖1 由物聯(lián)網(wǎng)攻擊機器人(Thingbot)發(fā)起的前十五大攻擊。
因此����,在本期報告首度揭露這些攻擊IP。非僅殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的頻率增加�����,單是2018年1月就有四個新殭尸物聯(lián)網(wǎng)�,而且攻擊者的攻擊方法持續(xù)進化,除了Telnet之外�,還瞄準一些協(xié)議,為的是確保能夠盡可能獵殺最多脆弱的IoT裝置�����,如圖2所示。
▲圖2 透過Telnet實施的網(wǎng)絡(luò)攻擊��。
Telnet攻擊構(gòu)筑大規(guī)模殭尸物聯(lián)網(wǎng)
盡管IoT攻擊已擴充至Telnet以外的協(xié)議�����,不過Telnet暴力攻擊仍然是最普遍使用的手法��,數(shù)量從2016到2017成長249%���。
2017年7~12月期間的攻擊數(shù)量低于前六個月期�,然而攻擊層級則和Mirai相當��,而且比用來構(gòu)筑Mirai的數(shù)量還多�,如圖3所示。這個攻擊數(shù)量足以構(gòu)筑許多相當大規(guī)模的殭尸物聯(lián)網(wǎng)����,因此縱使數(shù)量減少,但并不表示攻擊者興趣減低或者威脅降低��,而是因為過去已有如此眾多Telnet攻擊,因此攻擊者達到一個飽和點��。Telnet唾手可得的果實很容易被撿走��。
▲圖3 2016年1月至2017年12月每季Telnet攻擊統(tǒng)計�����。
若以過去兩年的Telnet攻擊活動和Telnet殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的時候做比較�,就可以從數(shù)據(jù)看出安全研究人員總是比攻擊者落后數(shù)個月(若非數(shù)年的話)。已報導(dǎo)的Telnet攻擊��,至少已建構(gòu)九個相當大的殭尸物聯(lián)網(wǎng)����,而且還有空間可建構(gòu)更多殭尸物聯(lián)網(wǎng),只是目前尚未發(fā)現(xiàn)(圖4)��。
▲圖4 來自Thingbot的Telnet攻擊統(tǒng)計�����。
Mirai殭尸物聯(lián)網(wǎng)正在增長
已知的殭尸物聯(lián)網(wǎng)例如Mirai和Persirai(透過Telnet攻擊)盡管大家普遍知道它們的存在和威脅�,但仍繼續(xù)成長���。從2017年6月到12月��,Mirai在拉丁美洲顯著成長��,而在美國�����、加拿大�、歐洲、中東����、非洲、亞洲和澳洲也都呈現(xiàn)中度成長��,如圖5所示��。
▲圖5 2017年12月全球Mirai殭尸物聯(lián)網(wǎng)分布圖�。
依照地區(qū)區(qū)分攻擊來源和目標
中國、美國和俄羅斯是三大攻擊國����。在這段期間,44%攻擊源自中國���,另外44%源自十大攻擊國的第2到第10排名國家����,每一個國家占總數(shù)量的10%以下。其余22%源自一些流量少于1%的數(shù)個國家��,如圖6所示����。
▲圖6 前十名攻擊來源國家。
沒有特別突出的IoT攻擊目標國�,因為脆弱的IoT裝置無差別地部署在全球。沒有任何國家擁有一個未遭受攻擊的安全IoT部署���。在報告的六個月期間����,最常遭受攻擊的國家為美國�����、新加坡�、西班牙和匈牙利�����,如圖7所示。
▲圖7 前十名最常遭受攻擊的國家���。
依產(chǎn)業(yè)區(qū)分攻擊
在這段期間��,前五十大攻擊自治系統(tǒng)編號(ASN)有80%屬于電信或ISP公司��,那正是IoT裝置駐留的地方(相較于主機代管公司的服務(wù)器)����。若要讓IoT發(fā)動攻擊����,就必須駭入這些裝置。
威脅的下一步?
物聯(lián)網(wǎng)裝置由于安全性很差而且實行全球規(guī)模的廣泛部署��,因此必須將它們視為一種迫切的威脅��。十年來�����,它們不但已被駭并且繼續(xù)被當成攻擊的武器�,而我們甚至還沒有邁入IoT的大量消費者采納階段�。如果不開始著手處理這個問題�����,可以確定的是�,未來將會很混亂。
IoT安全性必須靠個人��、政府和制造商共同維護�����,包括全球網(wǎng)民應(yīng)該做的事���、企業(yè)和政府(他們都建置IoT并遭受IoT攻擊)應(yīng)該做的事��、以及IoT制造商應(yīng)該結(jié)合到產(chǎn)品開發(fā)生命周期的措施��,詳如表1��。
將威脅映像到活動主題
殭尸物聯(lián)網(wǎng)是利用被駭?shù)腎oT裝置建構(gòu)而成�����,它和傳統(tǒng)殭尸網(wǎng)絡(luò)不同的地方在于修復(fù)能力�����。物聯(lián)網(wǎng)裝置典型上都屬于非管理型的裝置���。一個遭入侵的IoT裝置被其所有者發(fā)現(xiàn)并予以修復(fù)的機會相當?shù)停@正是為什么過了二年還會看到相同的攻擊裝置���。惡名昭彰的Mirai也因為如此�,不但沒有被毀滅���,反而繼續(xù)成長�。
殭尸物聯(lián)網(wǎng)可以發(fā)動一如傳統(tǒng)殭尸網(wǎng)絡(luò)所能的任何攻擊��,而且因為它們的規(guī)模而更具危害性�����。這些陳述和殭尸物聯(lián)網(wǎng)數(shù)據(jù)����,可使用于任何討論殭尸網(wǎng)絡(luò)流量與攻擊的主題活動。
表1 IoT安全性須由所有人共同維護
在報告中����,整理出已知的殭尸物聯(lián)網(wǎng)與它們發(fā)動的攻擊�,以及可以運用殭尸物聯(lián)網(wǎng)的十五種不同攻擊類型(可供使用于意見領(lǐng)袖及未來討論)�����。因此�����,獵殺IoT報告系列可用于支持現(xiàn)在所有的安全活動���,例如:
DDoS:殭尸物聯(lián)網(wǎng)可以發(fā)動每秒Terabit等級的全球毀滅性DDoS攻擊�����,但也經(jīng)常被用于較小規(guī)模的DDoS for Hire攻擊�����。
WAF:殭尸物聯(lián)網(wǎng)發(fā)動Web應(yīng)用入侵行動����,駭入應(yīng)用程序并且進行加密貨幣挖礦(Mine
Cryptocurrency)、收集數(shù)據(jù)��、利用應(yīng)用程序作為垃圾郵件轉(zhuǎn)送或點擊農(nóng)場(Click Farm)等���。
SSL-O:殭尸物聯(lián)網(wǎng)侵入網(wǎng)絡(luò)和應(yīng)用程序,并利用加密以掩飾它們的惡意流量�,需要解密才能分辨攻擊。
訪問控制/聯(lián)合身分識別:殭尸物聯(lián)網(wǎng)利用收集自IoT裝置和其他入侵方式取得的帳密����,對應(yīng)用程序發(fā)動帳密填充攻擊。
Web詐欺:殭尸物聯(lián)網(wǎng)攜載銀行木馬病毒��。
