前言

在F5實(shí)驗(yàn)室最新發(fā)布的??物聯(lián)網(wǎng)安全報(bào)告??中，分析了2018年1月至6月期間全球物聯(lián)網(wǎng)(IoT)設(shè)備受攻擊的數(shù)據(jù)，涵蓋物聯(lián)網(wǎng)設(shè)備使用的主流服務(wù)和20個(gè)端口的分析數(shù)據(jù)。

以下是從2018年1月1日到6月30日基于收集的數(shù)據(jù)得出的結(jié)果概要：

• 物聯(lián)網(wǎng)設(shè)備已成為網(wǎng)絡(luò)惡意活動(dòng)的頭號(hào)目標(biāo)，受到的攻擊數(shù)量遠(yuǎn)超Web和應(yīng)用程序服務(wù)器、電子郵件服務(wù)器和數(shù)據(jù)庫(kù)。
• 遠(yuǎn)程登陸攻擊占比下降，原因在于通過23端口監(jiān)聽的物聯(lián)網(wǎng)設(shè)備已被Thingbot僵尸網(wǎng)絡(luò)移除。
• 今年3月，針對(duì)每個(gè)受監(jiān)聽端口的攻擊流量劇增?；趯?duì)攻擊流量的解析，其中84%來自電信運(yùn)營(yíng)商，因此可推測(cè)電信運(yùn)行商掌握的物聯(lián)網(wǎng)設(shè)備中有不少已被僵尸網(wǎng)絡(luò)感染。
• 針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊類型，SSH爆破攻擊排第一，其次是遠(yuǎn)程登陸。
• 來自伊朗和伊拉克的IP地址首次進(jìn)入攻擊IP地址列表前50名。
• 攻擊IP地址列表前50名都是新面孔，在上一篇報(bào)告中前50個(gè)攻擊IP中74%曾經(jīng)出現(xiàn)過。也就是說，之前受感染的設(shè)備可能被全部清理了。
• 西班牙是受攻擊最嚴(yán)重的國(guó)家，受攻擊的數(shù)量占比高達(dá)80%。在過去一年半的時(shí)間里，西班牙一直是“穩(wěn)坐第一”。顯然，西班牙的物聯(lián)網(wǎng)安全存在基礎(chǔ)性和結(jié)構(gòu)性的問題。
• 巴西、中國(guó)、日本、波蘭和美國(guó)是主要的攻擊來源國(guó)。

概述

F5實(shí)驗(yàn)室在2018年上半年共監(jiān)控到13個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，2016年為9個(gè)，2017年為6個(gè)，僵尸網(wǎng)絡(luò)形成的增速驚人。F5實(shí)驗(yàn)室監(jiān)控僵尸網(wǎng)絡(luò)中的設(shè)備類型、感染途徑、以及發(fā)現(xiàn)手段，以下是這13個(gè)僵尸網(wǎng)絡(luò)的概況：

• VPN Filter：收集用戶憑據(jù)，安裝網(wǎng)絡(luò)嗅探器以監(jiān)控ICS協(xié)議，最后安裝tor節(jié)點(diǎn)。
• Wicked：目標(biāo)對(duì)象為SOHO路由器、CCTV和DVR，安裝SORA和OWARI，兩者都是提供“租用服務(wù)”的僵尸網(wǎng)絡(luò)。
• Roaming Mantis：寄生在Wi-Fi路由器以及Android和iOS手機(jī)，并在受感染的設(shè)備上進(jìn)行DNS劫持和地雷加密貨幣。
• Omni：危害GPON家用路由器，用于加密或DDoS攻擊。
• UPnProxy：掃描SOHO路由器并安裝可繞過訪問控制的代理服務(wù)器，之后發(fā)起：垃圾郵件和網(wǎng)絡(luò)釣魚活動(dòng);點(diǎn)擊欺詐;賬戶接管和信用卡欺詐;DDoS攻擊;安裝其他僵尸網(wǎng)絡(luò);分發(fā)惡意軟件。
• OWARI：接管SOHO路由器，作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租。
• SORA：接管SOHO路由器，作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租。
• DoubleDoor：目標(biāo)對(duì)象為受瞻博網(wǎng)絡(luò)家庭防火墻保護(hù)的SOHO路由器，可在目標(biāo)設(shè)備上安裝代理服務(wù)器，發(fā)起多種類型的攻擊。
• OMG：接管SOHO路由器、無線IP攝像機(jī)和DVR，安裝代理服務(wù)器，可發(fā)起多種類型的攻擊。
• JenX：入侵SOHO路由器和無線芯片組，發(fā)起DDoS攻擊。JenX是一種DDoS-for-Hire服務(wù)，以20美元的價(jià)格提供300Gbps攻擊。
• Hide’n Seek：接管IP攝像機(jī)，能夠發(fā)起的攻擊類型目前未知。
• Pure Masuta：目標(biāo)對(duì)象為家用路由器，能夠發(fā)起的攻擊類型目前未知。
• Masuta：接管家用路由器并發(fā)動(dòng)DDoS攻擊。

受感染數(shù)量最多的物聯(lián)網(wǎng)設(shè)備依次為SOHO路由器、IP攝像機(jī)、DVR和CCTV。

??

圖1：過去10年僵尸網(wǎng)絡(luò)感染的設(shè)備類型分布

以往物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)最常見的攻擊類型是對(duì)目標(biāo)對(duì)象發(fā)起DDoS，在2018年形勢(shì)發(fā)生了變化。僵尸網(wǎng)絡(luò)的掌控者開始轉(zhuǎn)向DDoS多用途攻擊“服務(wù)”的出租，安裝代理服務(wù)器用于發(fā)動(dòng)指定類型的惡意攻擊，安裝節(jié)點(diǎn)和數(shù)據(jù)包嗅探器發(fā)起PDoS攻擊，DNS劫持、憑證收集、憑證填充和欺詐木馬等惡意活動(dòng)。

??

圖2：在過去10年中，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)起的惡意活動(dòng)類型分布

構(gòu)建物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主流方法是在互聯(lián)網(wǎng)上對(duì)全球范圍內(nèi)的設(shè)備進(jìn)行，查找開放的遠(yuǎn)程服務(wù)，比如說物聯(lián)網(wǎng)領(lǐng)域?qū)Ｓ玫腍NAP、UPnP、SOAP、CVE，以及一些TCP端口。

??

圖3：過去10年中，感染方式分布

研究報(bào)告指出，蜂窩物聯(lián)網(wǎng)網(wǎng)關(guān)與傳統(tǒng)的有線和無線物聯(lián)網(wǎng)設(shè)備一樣脆弱，尤其是物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)設(shè)備都很容易受到身份驗(yàn)證攻擊。報(bào)告指出，62%的被測(cè)設(shè)備易受基于弱密碼和默認(rèn)憑證的遠(yuǎn)程訪問攻擊。這些設(shè)備被用于構(gòu)建帶外網(wǎng)絡(luò)、創(chuàng)建網(wǎng)絡(luò)后門、進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)、實(shí)施中間人攻擊、DNS劫持等。

“最受歡迎”的物聯(lián)網(wǎng)設(shè)備端口前20名

??

大多數(shù)物聯(lián)網(wǎng)設(shè)備已從Telnet轉(zhuǎn)為使用SSH進(jìn)行遠(yuǎn)程管理，而SOHO路由器、電視機(jī)、游戲機(jī)和ICS等物聯(lián)網(wǎng)設(shè)備已經(jīng)使用80端口很久了。智能電視和游戲機(jī)會(huì)定期啟動(dòng)網(wǎng)絡(luò)服務(wù)器，使用UPnP管理自動(dòng)打開SOHO路由器或防火墻的端口。Radiation、Reaper和Wicked均瞄準(zhǔn)了HTTP協(xié)議的80、81和8080端口。

??

圖4：受攻擊數(shù)量最多的20個(gè)IoT設(shè)備端口的時(shí)間分布

十大攻擊目標(biāo)國(guó)家和地區(qū)

西班牙自2017年第一季度以來一直穩(wěn)坐物聯(lián)網(wǎng)惡意活動(dòng)“最受歡迎的”目標(biāo)國(guó)家，2018年1月1日至6月30日期間遭到的攻擊流量占比高達(dá)80%，該數(shù)據(jù)直接反映出西班牙物聯(lián)網(wǎng)資產(chǎn)的脆弱程度。

在過去一年半的時(shí)間里，匈牙利在受攻擊最多的國(guó)家中也占據(jù)了一席之地。排在前三位的其他國(guó)家是美國(guó)、俄羅斯和新加坡。

十大攻擊源國(guó)家和地區(qū)

2018年1月1日至6月30日期間，來自巴西的流量最多，該總攻擊流量的18%，這可能與前段事件巴西國(guó)內(nèi)大量路由器遭到劫持有關(guān)。排在巴西之后的是我國(guó)。

來自日本的攻擊流量從2017年第三季度和第四季度的占總攻擊流量的1%大幅上升到2018年第一季度和第二季度總攻擊流量的9%。波蘭和伊朗的2018年第一季度和第二季度數(shù)據(jù)也值得關(guān)注，在過去的兩年半中，這兩個(gè)國(guó)家僅排在前十名上下，這兩個(gè)國(guó)家在2017年第一季度和第二季度中發(fā)起的攻擊占比不到1%。

??

表3：過去兩年中排名前10位的攻擊來源國(guó)家和地區(qū)

排名前50的攻擊IP地址

以下排名前50的攻擊IP地址按攻擊流量由高到底排列。該列表中的所有 IP地址都是新出現(xiàn)的。這種情況有幾種可能：以前受感染設(shè)備被全網(wǎng)清理;新的頂級(jí)玩家興起;被監(jiān)控設(shè)備的所有者將惡意活動(dòng)轉(zhuǎn)移到了新系統(tǒng)。

這一時(shí)期最明顯的變化是來自伊朗和伊拉克的IP地址數(shù)量激增。

??

??

??

??

??

排名前50強(qiáng)的攻擊IP所處行業(yè)

攻擊中的大多數(shù)來自電信和ISP公司，這些公司為物聯(lián)網(wǎng)設(shè)備所在的海量家庭、辦公室和園區(qū)提供互聯(lián)網(wǎng)服務(wù)。一旦物聯(lián)網(wǎng)設(shè)備被感染，它就會(huì)被用來掃描其他物聯(lián)網(wǎng)設(shè)備來傳播惡意軟件， 大多數(shù)分布式掃描模型并且還用于攻擊。因此，電信/互聯(lián)網(wǎng)服務(wù)提供商產(chǎn)生了大部分物聯(lián)網(wǎng)攻擊流量這個(gè)結(jié)果在意料之中。如果托管服務(wù)提供商的攻擊流量明顯增加，表明攻擊者正在構(gòu)建新的僵尸網(wǎng)絡(luò)。

??

產(chǎn)業(yè)安全展望

當(dāng)Mirai僵尸網(wǎng)絡(luò)以雷霆之勢(shì)橫掃全球時(shí)，相應(yīng)的防御措施和行動(dòng)可謂寒心。想要擊垮Mirai，存在以下幾個(gè)難點(diǎn)：許多受感染的物聯(lián)網(wǎng)設(shè)備(1)無法進(jìn)行固件更新，(2)用戶技術(shù)有限，(3)廠商沒有動(dòng)力更新固件、設(shè)備或切斷與受感染設(shè)備的連接，因?yàn)檫@同時(shí)會(huì)中斷服務(wù)。

自Mirai源代碼公開以來，它已經(jīng)以Annie、Satori/Okiru、Persirai、Masuta、Pure Masuta、OMG、SORA、OWARI、Omni和Wicked的面貌重生過10次。Mirai本體威脅仍然迫在眉睫，它的兄弟姐們的手段更是五花八門，不僅僅能夠發(fā)動(dòng)DDoS攻擊，部署代理服務(wù)器、挖礦腳本、安裝其他僵尸網(wǎng)絡(luò)程序供”出租“等更是不在話下。這也導(dǎo)致了自2017年12月30日F5實(shí)驗(yàn)室報(bào)告Mirai增長(zhǎng)以來，世界各地的Mirai惡意軟件感染地區(qū)(黃點(diǎn))明顯增長(zhǎng)。

地圖上的每個(gè)點(diǎn)代表Mirai感染設(shè)備的緯度和經(jīng)度坐標(biāo)。紅點(diǎn)代表“掃描器”節(jié)點(diǎn)，用于搜索其他易受感染的物聯(lián)網(wǎng)設(shè)備。黃點(diǎn)表示可以獲被植入最新的惡意軟件的托管系統(tǒng)。

總結(jié)

物聯(lián)網(wǎng)設(shè)備現(xiàn)在要以十億計(jì)算，現(xiàn)有的安全標(biāo)準(zhǔn)(或壓根沒有安全標(biāo)準(zhǔn))應(yīng)用全球的威脅態(tài)勢(shì)早已無用，形勢(shì)難以逆轉(zhuǎn)。

未來可以預(yù)見：

• 惡意挖礦軟件在物聯(lián)網(wǎng)系統(tǒng)中的傳播途徑更加多樣化，如SOHO路由器、游戲機(jī)等。
• 勒索軟件向要害設(shè)施和機(jī)構(gòu)進(jìn)發(fā)，尤其是工業(yè)控制系統(tǒng)、機(jī)場(chǎng)、醫(yī)院、ATM等。
• 更多包含網(wǎng)絡(luò)后門的物聯(lián)網(wǎng)系統(tǒng)出現(xiàn)，如蜂窩網(wǎng)關(guān)、暖通空調(diào)系統(tǒng)、恒溫器、IP攝像機(jī)、自動(dòng)售貨機(jī)、咖啡機(jī)等。這些設(shè)備受感染后可監(jiān)視和竊取受數(shù)據(jù)和知識(shí)產(chǎn)權(quán)(IP)保住的資產(chǎn)。
• 針對(duì)工業(yè)控制系統(tǒng)的間諜軟件興起。
• 針對(duì)國(guó)家關(guān)鍵工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)戰(zhàn)，包括物理滲透和間諜活動(dòng)。

這些趨勢(shì)將為部署物聯(lián)網(wǎng)設(shè)備的組織造成重大損失。可以說物聯(lián)網(wǎng)安全已經(jīng)到了危急關(guān)頭，每家公司、每個(gè)組織都需要為物聯(lián)網(wǎng)攻擊做好準(zhǔn)備，每個(gè)用戶也要站出來保護(hù)自己的家園。物聯(lián)網(wǎng)產(chǎn)業(yè)體系的產(chǎn)品先行之風(fēng)要煞一煞，用安全賦能物聯(lián)網(wǎng)。