一、引言
近兩年來����,隨著物聯(lián)網(wǎng)相關(guān)技術(shù)的發(fā)展,幾乎所有的家用電器都可以接入網(wǎng)絡(luò)�。智能化的應(yīng)用給生活帶來便利的同時(shí),其副作用也隨之而生���。2016年�����,攻擊者使用Mirai病毒用僵尸物聯(lián)網(wǎng)設(shè)備讓一個(gè)新聞網(wǎng)站的重要防火墻癱瘓之后�,緊接著Dyn
DNS
service遭受到攻擊����,使得美國網(wǎng)絡(luò)中流砥柱的公司大面積癱瘓,影響遍及數(shù)百萬人群����。而Mirai能夠在識(shí)別物聯(lián)網(wǎng)設(shè)備的同時(shí)令其感染病毒使之成為僵尸網(wǎng)絡(luò),進(jìn)而集中控制物聯(lián)網(wǎng)設(shè)備�,發(fā)起分布式拒絕服務(wù)(DDoS)攻擊,大量垃圾流量會(huì)滲透進(jìn)入目標(biāo)服務(wù)器,令服務(wù)器癱瘓�����。如今����,受到威脅的不再只是電腦,網(wǎng)絡(luò)攝像頭和路由器也早已危機(jī)四伏�����,因此對(duì)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的識(shí)別及攻擊預(yù)測(cè)���,顯得尤為重要。
通常情況下��,可以從地址類型�����、網(wǎng)絡(luò)位置�����、行為位置、風(fēng)險(xiǎn)類型等多個(gè)方面對(duì)某一IP進(jìn)行描繪�����,IP維度上產(chǎn)生的信息�����,可以在很多業(yè)務(wù)場(chǎng)景中配合使用����,如果對(duì)一些可疑的IP進(jìn)行合理的描繪,輸出相關(guān)的情報(bào)信息����,從某些方面講也可以為惡意攻擊提供一定的預(yù)警能力。本文對(duì)物聯(lián)網(wǎng)設(shè)備的IP進(jìn)行了分析�,主要從設(shè)備類型,開放服務(wù)��,地域信息�����,攻擊類型四個(gè)方面進(jìn)行描繪�,而且對(duì)這些維度進(jìn)行分析�����,從中得出現(xiàn)有的惡意物聯(lián)網(wǎng)IP的特征���,并分析這些特征產(chǎn)生的可能原因。
圖1 物聯(lián)網(wǎng)惡意IP可選的描繪維度
由2017年3月份綠盟科技創(chuàng)新中心物聯(lián)網(wǎng)安全實(shí)驗(yàn)室和威脅情報(bào)實(shí)驗(yàn)室聯(lián)合發(fā)表的《國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析》(http://t.cn/RaGywgI)中了解到�,國內(nèi)有十幾種物聯(lián)網(wǎng)設(shè)備存在數(shù)量較多的暴露情況,根據(jù)數(shù)量排序依次列出�����。
圖2 全球和國內(nèi)物聯(lián)網(wǎng)相關(guān)設(shè)備暴露情況
本文物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)全部來源于NTI(綠盟威脅情報(bào)中心)����,通過設(shè)備類型標(biāo)簽提取出物聯(lián)網(wǎng)資產(chǎn)����,將結(jié)果與歷史攻擊事件數(shù)據(jù)庫中3000w
IP進(jìn)行撞庫處理,最后共獲得77860條惡意物聯(lián)網(wǎng)資產(chǎn)記錄��,并將以上兩個(gè)數(shù)據(jù)庫的字段相結(jié)合做了如下相關(guān)分析�����。
二、相關(guān)分析
1. 攻擊類型分析
惡意的物聯(lián)網(wǎng)資產(chǎn)以肉雞為主�����,主要發(fā)動(dòng)掃描和DDoS攻擊����。
我們對(duì)威脅IP歷史攻擊事件數(shù)據(jù)庫中提取的惡意物聯(lián)網(wǎng)資產(chǎn)的攻擊類型字段進(jìn)行統(tǒng)計(jì),對(duì)于物聯(lián)網(wǎng)資產(chǎn)而言����,多數(shù)惡意的物聯(lián)網(wǎng)設(shè)備都是被其他主機(jī)控制,組成僵尸網(wǎng)絡(luò)進(jìn)行攻擊�����。如圖
2.1
所示���,除了其他攻擊類型以外����,Botnet(僵尸網(wǎng)絡(luò))總量占比最多����,主要做Scanners(掃描器)和DDoS攻擊��。當(dāng)初的Mirai事件就是黑客利用物聯(lián)網(wǎng)設(shè)備的弱口令等安全漏洞��,主要對(duì)網(wǎng)絡(luò)監(jiān)控設(shè)備實(shí)施入侵����,并植入惡意軟件構(gòu)建僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊���,致使被攻擊的網(wǎng)絡(luò)癱瘓的現(xiàn)象�。
圖3 惡意物聯(lián)網(wǎng)資產(chǎn)攻擊類型數(shù)量分布
2. 設(shè)備類型分析
惡意物聯(lián)網(wǎng)設(shè)備中路由器和網(wǎng)絡(luò)攝像頭數(shù)量最多���,占惡意總量90%以上�����。
從上圖可以看出惡意物聯(lián)網(wǎng)IP中路由器和網(wǎng)絡(luò)攝像頭兩種設(shè)備占總量的90%以上,是什么導(dǎo)致二者數(shù)量占比這么多呢?分析猜測(cè)有以下幾點(diǎn)原因�。首先,從圖
4物聯(lián)網(wǎng)資產(chǎn)暴露情況來看��,惡意物聯(lián)網(wǎng)設(shè)備類型的數(shù)量排名與暴露的數(shù)量的排名幾乎相吻合���,暴露的基數(shù)越大該設(shè)備被控制的數(shù)量可能就會(huì)越多;其次��,因?yàn)槎鄶?shù)人并不知道路由器��,攝像頭等物聯(lián)網(wǎng)設(shè)備會(huì)被大規(guī)模植入惡意軟件��,所以此類設(shè)備很少有防護(hù)��,而且具有常開的特性��,操控者不擔(dān)心會(huì)失去連接�,這為攻擊提供了很大的便利;最后也跟NTI的物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)有關(guān),可能因?yàn)镹TI對(duì)攝像頭和路由器識(shí)別基數(shù)大�,所以路由器和攝像頭的惡意資產(chǎn)較多。以上等等均為推測(cè)�����,欲知確切原因���,還需要更多數(shù)據(jù)進(jìn)一步佐證��。
圖4 惡意物聯(lián)網(wǎng)設(shè)備類型分布情況
3. 地域分布分析
全球惡意的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大多數(shù)分布在人口較多的發(fā)展中國家�。
印度的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)數(shù)量最多��,其次是中國和巴西���,三個(gè)都是發(fā)展中國家�����,而且人口基數(shù)都很大����,可能對(duì)路由器、攝像頭等物聯(lián)網(wǎng)設(shè)備需求也較多�,并且一定程度上說明這些國家地區(qū)的人們對(duì)物聯(lián)網(wǎng)安全意識(shí)相對(duì)薄弱。
圖5 惡意物聯(lián)網(wǎng)設(shè)備全球分布示意圖
圖6 惡意物聯(lián)網(wǎng)設(shè)備國家數(shù)量分布
國內(nèi)惡意的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)主要分布在東南沿海地帶�����,包括長三角�,珠三角和京津冀經(jīng)濟(jì)帶,香港地區(qū)是重災(zāi)區(qū)����。
如圖 7
所示,惡意物聯(lián)網(wǎng)設(shè)備主要分布在東南沿海和京津冀地帶�����,產(chǎn)生這一現(xiàn)象可能是因?yàn)榘l(fā)達(dá)的經(jīng)濟(jì)帶物聯(lián)網(wǎng)設(shè)備的基數(shù)本身就大���,所以這些地區(qū)的惡意物聯(lián)網(wǎng)設(shè)備數(shù)量相對(duì)其他地區(qū)會(huì)多一些��。當(dāng)然這只是一種猜測(cè)���,具體原因還需進(jìn)一步的數(shù)據(jù)支撐和分析得出。由圖
8
可知���,香港地區(qū)的惡意物聯(lián)網(wǎng)資產(chǎn)數(shù)量最多�,且根據(jù)《國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析》顯示��,該地區(qū)的物聯(lián)網(wǎng)設(shè)備暴露情況令人堪憂��,看來暴露情況和惡意情況很可能正相關(guān)����。
圖7 惡意物聯(lián)網(wǎng)設(shè)備國內(nèi)分布示意圖
圖8 惡意物聯(lián)網(wǎng)設(shè)備國內(nèi)數(shù)量分布
4. 開放服務(wù)分析
被控制的物聯(lián)網(wǎng)設(shè)備大部分開放多個(gè)端口,開放最多的是WEB服務(wù)�。
我們對(duì)惡意的物聯(lián)網(wǎng)設(shè)備開放的服務(wù)數(shù)量進(jìn)行了統(tǒng)計(jì)(端口開放可能包括歷史數(shù)據(jù)),其中絕大部分開放端口為80�,161,37777��。通過分析惡意物聯(lián)網(wǎng)資產(chǎn)協(xié)議和默認(rèn)端口的對(duì)應(yīng)關(guān)系����,發(fā)現(xiàn)開放最多的協(xié)議為HTTP協(xié)議(圖
10)�,也就是說在惡意的物聯(lián)網(wǎng)設(shè)備中��,開放最多的是WEB服務(wù)���。
圖9 惡意物聯(lián)網(wǎng)設(shè)備的端口分布
圖10 惡意物聯(lián)網(wǎng)IP開放協(xié)議情況
三���、寫在最后
當(dāng)然以上都是從客觀的維度進(jìn)行的分析,但是如果想找到惡意的物聯(lián)網(wǎng)設(shè)備���,還需根據(jù)具體的網(wǎng)絡(luò)活動(dòng)看其是否有惡意的行為�����,包括是否有與C&C主機(jī)連接行為和是否有攻擊行為兩個(gè)方面���。如果能查到某物聯(lián)網(wǎng)資產(chǎn)與已知的C&C主機(jī)連接,該物聯(lián)網(wǎng)設(shè)備就有肉雞的嫌疑�����,而該物聯(lián)網(wǎng)資產(chǎn)有攻擊相關(guān)流量,就可以進(jìn)一步確定其為肉雞���。
分析了這么多,作為使用者我們?cè)撊绾畏乐棺约旱奈锫?lián)網(wǎng)設(shè)備��,不被他人攻擊呢?這里結(jié)合我們的分析�,簡單的總結(jié)了一些建議:
修改初始口令以及弱口令,加固用戶名和密碼的安全性;
關(guān)閉不用的端口和服務(wù)�,如FTP(21端口)、SSH(22端口)���、Telnet(23端口)等�,WEB服務(wù)盡可能的不暴露在公網(wǎng);
及時(shí)升級(jí)設(shè)備固件���,修復(fù)漏洞�����。
當(dāng)然如果你對(duì)以上技術(shù)建議并不是很care�,或者沒有精力做這些配置操作�,但又擔(dān)心家里的物聯(lián)網(wǎng)設(shè)備遭受攻擊,也許你需要一款具備安全能力的路由器����。根據(jù)上文的分析安全路由器應(yīng)至少具備以下能力:
(1) 掃描識(shí)別能力
對(duì)接入路由器內(nèi)的設(shè)備進(jìn)行定期掃描�����,識(shí)別其設(shè)備類型�、開放服務(wù)�����、固件版本號(hào)等信息�����,提示使用者關(guān)閉不必要的端口和服務(wù)��,對(duì)存在高危的固件版本提示升級(jí)�����。
(2) 惡意行為監(jiān)測(cè)
對(duì)路由器內(nèi)設(shè)備的訪問連接行為進(jìn)行識(shí)別���,根據(jù)威脅情報(bào)等信息對(duì)設(shè)備連接的惡意的IP或URL進(jìn)行告警或阻斷���,保護(hù)內(nèi)網(wǎng)設(shè)備不被惡意主機(jī)連接控制��。
隨著家庭物聯(lián)網(wǎng)設(shè)備種類的增多���,其攻擊面也必然會(huì)越來越廣,相對(duì)于安全問題�,消費(fèi)者可能更會(huì)將精力放在產(chǎn)品的使用��?����?砂踩珕栴}怎么辦呢?所以如果在家庭的場(chǎng)景中配置一個(gè)安全路由器���,讓其來輔助消費(fèi)者保護(hù)家中的智能設(shè)備的安全����,似乎可以很好的解決以上沖突�����。隨著技術(shù)的進(jìn)步�����,人們對(duì)智能設(shè)備需求的增加,物聯(lián)網(wǎng)設(shè)備的攻擊面肯定不僅限于本文提到這些����,所以關(guān)于安全路由器的能力可能還需進(jìn)一步的挖掘和探討。
