在F5實(shí)驗(yàn)室最新發(fā)布的物聯(lián)網(wǎng)安全報(bào)告中,分析了2018年1月至6月期間全球物聯(lián)網(wǎng)(IoT)設(shè)備受攻擊的數(shù)據(jù)��,涵蓋物聯(lián)網(wǎng)設(shè)備使用的主流服務(wù)和20個(gè)端口的分析數(shù)據(jù)�����。
以下是從2018年1月1日到6月30日基于收集的數(shù)據(jù)得出的結(jié)果概要:
物聯(lián)網(wǎng)設(shè)備已成為網(wǎng)絡(luò)惡意活動(dòng)的頭號(hào)目標(biāo)��,受到的攻擊數(shù)量遠(yuǎn)超Web和應(yīng)用程序服務(wù)器��、電子郵件服務(wù)器和數(shù)據(jù)庫(kù)��。
遠(yuǎn)程登陸攻擊占比下降�,原因在于通過(guò)23端口監(jiān)聽(tīng)的物聯(lián)網(wǎng)設(shè)備已被Thingbot僵尸網(wǎng)絡(luò)移除�����。
今年3月����,針對(duì)每個(gè)受監(jiān)聽(tīng)端口的攻擊流量劇增�����?���;趯?duì)攻擊流量的解析����,其中84%來(lái)自電信運(yùn)營(yíng)商,因此可推測(cè)電信運(yùn)行商掌握的物聯(lián)網(wǎng)設(shè)備中有不少已被僵尸網(wǎng)絡(luò)感染����。
針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊類型,SSH爆破攻擊排第一���,其次是遠(yuǎn)程登陸����。
來(lái)自伊朗和伊拉克的IP地址首次進(jìn)入攻擊IP地址列表前50名�����。
攻擊IP地址列表前50名都是新面孔,在上一篇報(bào)告中前50個(gè)攻擊IP中74%曾經(jīng)出現(xiàn)過(guò)��。也就是說(shuō)�,之前受感染的設(shè)備可能被全部清理了。
西班牙是受攻擊最嚴(yán)重的國(guó)家�,受攻擊的數(shù)量占比高達(dá)80%。在過(guò)去一年半的時(shí)間里��,西班牙一直是“穩(wěn)坐第一”����。顯然,西班牙的物聯(lián)網(wǎng)安全存在基礎(chǔ)性和結(jié)構(gòu)性的問(wèn)題�����。
巴西����、中國(guó)、日本���、波蘭和美國(guó)是主要的攻擊來(lái)源國(guó)。
概述
F5實(shí)驗(yàn)室在2018年上半年共監(jiān)控到13個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)�,2016年為9個(gè),2017年為6個(gè),僵尸網(wǎng)絡(luò)形成的增速驚人��。F5實(shí)驗(yàn)室監(jiān)控僵尸網(wǎng)絡(luò)中的設(shè)備類型�、感染途徑、以及發(fā)現(xiàn)手段�����,以下是這13個(gè)僵尸網(wǎng)絡(luò)的概況:
VPN Filter:收集用戶憑據(jù)�,安裝網(wǎng)絡(luò)嗅探器以監(jiān)控ICS協(xié)議,最后安裝tor節(jié)點(diǎn)��。
Wicked:目標(biāo)對(duì)象為SOHO路由器��、CCTV和DVR�,安裝SORA和OWARI,兩者都是提供“租用服務(wù)”的僵尸網(wǎng)絡(luò)�。
Roaming Mantis:寄生在Wi-Fi路由器以及Android和iOS手機(jī),并在受感染的設(shè)備上進(jìn)行DNS劫持和地雷加密貨幣����。
Omni:危害GPON家用路由器,用于加密或DDoS攻擊��。
UPnProxy:掃描SOHO路由器并安裝可繞過(guò)訪問(wèn)控制的代理服務(wù)器�����,之后發(fā)起:垃圾郵件和網(wǎng)絡(luò)釣魚(yú)活動(dòng);點(diǎn)擊欺詐;賬戶接管和信用卡欺詐;DDoS攻擊;安裝其他僵尸網(wǎng)絡(luò);分發(fā)惡意軟件。
OWARI:接管SOHO路由器�����,作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租�����。
SORA:接管SOHO路由器����,作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租。
DoubleDoor:目標(biāo)對(duì)象為受瞻博網(wǎng)絡(luò)家庭防火墻保護(hù)的SOHO路由器���,可在目標(biāo)設(shè)備上安裝代理服務(wù)器�,發(fā)起多種類型的攻擊�����。
OMG:接管SOHO路由器�����、無(wú)線IP攝像機(jī)和DVR,安裝代理服務(wù)器����,可發(fā)起多種類型的攻擊���。
JenX:入侵SOHO路由器和無(wú)線芯片組��,發(fā)起DDoS攻擊�。JenX是一種DDoS-for-Hire服務(wù)����,以20美元的價(jià)格提供300Gbps攻擊。
Hide’n Seek:接管IP攝像機(jī)�����,能夠發(fā)起的攻擊類型目前未知����。
Pure Masuta:目標(biāo)對(duì)象為家用路由器,能夠發(fā)起的攻擊類型目前未知�。
Masuta:接管家用路由器并發(fā)動(dòng)DDoS攻擊。
受感染數(shù)量最多的物聯(lián)網(wǎng)設(shè)備依次為SOHO路由器��、IP攝像機(jī)、DVR和CCTV����。
圖1:過(guò)去10年僵尸網(wǎng)絡(luò)感染的設(shè)備類型分布
以往物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)最常見(jiàn)的攻擊類型是對(duì)目標(biāo)對(duì)象發(fā)起DDoS,在2018年形勢(shì)發(fā)生了變化�。僵尸網(wǎng)絡(luò)的掌控者開(kāi)始轉(zhuǎn)向DDoS多用途攻擊“服務(wù)”的出租,安裝代理服務(wù)器用于發(fā)動(dòng)指定類型的惡意攻擊�,安裝節(jié)點(diǎn)和數(shù)據(jù)包嗅探器發(fā)起PDoS攻擊,DNS劫持��、憑證收集�、憑證填充和欺詐木馬等惡意活動(dòng)。
圖2:在過(guò)去10年中�����,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)起的惡意活動(dòng)類型分布
構(gòu)建物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主流方法是在互聯(lián)網(wǎng)上對(duì)全球范圍內(nèi)的設(shè)備進(jìn)行�,查找開(kāi)放的遠(yuǎn)程服務(wù),比如說(shuō)物聯(lián)網(wǎng)領(lǐng)域?qū)S玫腍NAP�����、UPnP�����、SOAP、CVE�,以及一些TCP端口。
圖3:過(guò)去10年中����,感染方式分布
研究報(bào)告指出,蜂窩物聯(lián)網(wǎng)網(wǎng)關(guān)與傳統(tǒng)的有線和無(wú)線物聯(lián)網(wǎng)設(shè)備一樣脆弱�,尤其是物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)設(shè)備都很容易受到身份驗(yàn)證攻擊。報(bào)告指出�����,62%的被測(cè)設(shè)備易受基于弱密碼和默認(rèn)憑證的遠(yuǎn)程訪問(wèn)攻擊���。這些設(shè)備被用于構(gòu)建帶外網(wǎng)絡(luò)���、創(chuàng)建網(wǎng)絡(luò)后門�、進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)�、實(shí)施中間人攻擊、DNS劫持等��。
“最受歡迎”的物聯(lián)網(wǎng)設(shè)備端口前20名
大多數(shù)物聯(lián)網(wǎng)設(shè)備已從Telnet轉(zhuǎn)為使用SSH進(jìn)行遠(yuǎn)程管理�,而SOHO路由器、電視機(jī)�、游戲機(jī)和ICS等物聯(lián)網(wǎng)設(shè)備已經(jīng)使用80端口很久了。智能電視和游戲機(jī)會(huì)定期啟動(dòng)網(wǎng)絡(luò)服務(wù)器���,使用UPnP管理自動(dòng)打開(kāi)SOHO路由器或防火墻的端口���。Radiation、Reaper和Wicked均瞄準(zhǔn)了HTTP協(xié)議的80��、81和8080端口�。
圖4:受攻擊數(shù)量最多的20個(gè)IoT設(shè)備端口的時(shí)間分布
十大攻擊目標(biāo)國(guó)家和地區(qū)
西班牙自2017年第一季度以來(lái)一直穩(wěn)坐物聯(lián)網(wǎng)惡意活動(dòng)“最受歡迎的”目標(biāo)國(guó)家,2018年1月1日至6月30日期間遭到的攻擊流量占比高達(dá)80%�,該數(shù)據(jù)直接反映出西班牙物聯(lián)網(wǎng)資產(chǎn)的脆弱程度。
圖5:十大攻擊目標(biāo)國(guó)家和地區(qū)
在過(guò)去一年半的時(shí)間里����,匈牙利在受攻擊最多的國(guó)家中也占據(jù)了一席之地����。排在前三位的其他國(guó)家是美國(guó)�、俄羅斯和新加坡。
表2:過(guò)去兩年中前10個(gè)攻擊目的地國(guó)家
十大攻擊源國(guó)家和地區(qū)
2018年1月1日至6月30日期間�,來(lái)自巴西的流量最多,該總攻擊流量的18%��,這可能與前段事件巴西國(guó)內(nèi)大量路由器遭到劫持有關(guān)���。排在巴西之后的是我國(guó)。
圖6:十大攻擊源國(guó)家
來(lái)自日本的攻擊流量從2017年第三季度和第四季度的占總攻擊流量的1%大幅上升到2018年第一季度和第二季度總攻擊流量的9%��。波蘭和伊朗的2018年第一季度和第二季度數(shù)據(jù)也值得關(guān)注�����,在過(guò)去的兩年半中���,這兩個(gè)國(guó)家僅排在前十名上下���,這兩個(gè)國(guó)家在2017年第一季度和第二季度中發(fā)起的攻擊占比不到1%。
表3:過(guò)去兩年中排名前10位的攻擊來(lái)源國(guó)家和地區(qū)
排名前50的攻擊IP地址
以下排名前50的攻擊IP地址按攻擊流量由高到底排列����。該列表中的所有
IP地址都是新出現(xiàn)的����。這種情況有幾種可能:以前受感染設(shè)備被全網(wǎng)清理;新的頂級(jí)玩家興起;被監(jiān)控設(shè)備的所有者將惡意活動(dòng)轉(zhuǎn)移到了新系統(tǒng)�。
這一時(shí)期最明顯的變化是來(lái)自伊朗和伊拉克的IP地址數(shù)量激增。
排名前50強(qiáng)的攻擊IP所處行業(yè)
攻擊中的大多數(shù)來(lái)自電信和ISP公司���,這些公司為物聯(lián)網(wǎng)設(shè)備所在的海量家庭���、辦公室和園區(qū)提供互聯(lián)網(wǎng)服務(wù)。一旦物聯(lián)網(wǎng)設(shè)備被感染���,它就會(huì)被用來(lái)掃描其他物聯(lián)網(wǎng)設(shè)備來(lái)傳播惡意軟件�,
大多數(shù)分布式掃描模型并且還用于攻擊����。因此,電信/互聯(lián)網(wǎng)服務(wù)提供商產(chǎn)生了大部分物聯(lián)網(wǎng)攻擊流量這個(gè)結(jié)果在意料之中���。如果托管服務(wù)提供商的攻擊流量明顯增加����,表明攻擊者正在構(gòu)建新的僵尸網(wǎng)絡(luò)。
產(chǎn)業(yè)安全展望
當(dāng)Mirai僵尸網(wǎng)絡(luò)以雷霆之勢(shì)橫掃全球時(shí)���,相應(yīng)的防御措施和行動(dòng)可謂寒心�。想要擊垮Mirai�����,存在以下幾個(gè)難點(diǎn):許多受感染的物聯(lián)網(wǎng)設(shè)備(1)無(wú)法進(jìn)行固件更新�,(2)用戶技術(shù)有限,(3)廠商沒(méi)有動(dòng)力更新固件��、設(shè)備或切斷與受感染設(shè)備的連接�����,因?yàn)檫@同時(shí)會(huì)中斷服務(wù)��。
自Mirai源代碼公開(kāi)以來(lái)����,它已經(jīng)以Annie���、Satori/Okiru�����、Persirai��、Masuta�����、Pure
Masuta���、OMG���、SORA、OWARI�����、Omni和Wicked的面貌重生過(guò)10次����。Mirai本體威脅仍然迫在眉睫,它的兄弟姐們的手段更是五花八門�����,不僅僅能夠發(fā)動(dòng)DDoS攻擊,部署代理服務(wù)器���、挖礦腳本�、安裝其他僵尸網(wǎng)絡(luò)程序供”出租“等更是不在話下�����。這也導(dǎo)致了自2017年12月30日F5實(shí)驗(yàn)室報(bào)告Mirai增長(zhǎng)以來(lái)���,世界各地的Mirai惡意軟件感染地區(qū)(黃點(diǎn))明顯增長(zhǎng)�。
地圖上的每個(gè)點(diǎn)代表Mirai感染設(shè)備的緯度和經(jīng)度坐標(biāo)���。紅點(diǎn)代表“掃描器”節(jié)點(diǎn)���,用于搜索其他易受感染的物聯(lián)網(wǎng)設(shè)備�。黃點(diǎn)表示可以獲被植入最新的惡意軟件的托管系統(tǒng)。
總結(jié)
物聯(lián)網(wǎng)設(shè)備現(xiàn)在要以十億計(jì)算����,現(xiàn)有的安全標(biāo)準(zhǔn)(或壓根沒(méi)有安全標(biāo)準(zhǔn))應(yīng)用全球的威脅態(tài)勢(shì)早已無(wú)用���,形勢(shì)難以逆轉(zhuǎn)。
未來(lái)可以預(yù)見(jiàn):
惡意挖礦軟件在物聯(lián)網(wǎng)系統(tǒng)中的傳播途徑更加多樣化�,如SOHO路由器、游戲機(jī)等����。
勒索軟件向要害設(shè)施和機(jī)構(gòu)進(jìn)發(fā),尤其是工業(yè)控制系統(tǒng)�����、機(jī)場(chǎng)����、醫(yī)院、ATM等����。
更多包含網(wǎng)絡(luò)后門的物聯(lián)網(wǎng)系統(tǒng)出現(xiàn),如蜂窩網(wǎng)關(guān)���、暖通空調(diào)系統(tǒng)�、恒溫器�、IP攝像機(jī)�����、自動(dòng)售貨機(jī)���、咖啡機(jī)等。這些設(shè)備受感染后可監(jiān)視和竊取受數(shù)據(jù)和知識(shí)產(chǎn)權(quán)(IP)保住的資產(chǎn)��。
針對(duì)工業(yè)控制系統(tǒng)的間諜軟件興起����。
針對(duì)國(guó)家關(guān)鍵工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)戰(zhàn),包括物理滲透和間諜活動(dòng)��。
這些趨勢(shì)將為部署物聯(lián)網(wǎng)設(shè)備的組織造成重大損失�����?���?梢哉f(shuō)物聯(lián)網(wǎng)安全已經(jīng)到了危急關(guān)頭,每家公司���、每個(gè)組織都需要為物聯(lián)網(wǎng)攻擊做好準(zhǔn)備�,每個(gè)用戶也要站出來(lái)保護(hù)自己的家園��。物聯(lián)網(wǎng)產(chǎn)業(yè)體系的產(chǎn)品先行之風(fēng)要煞一煞�����,用安全賦能物聯(lián)網(wǎng)�����。
