F5 Networks發(fā)表了“獵殺IoT”(The Hunt for
IoT)系列報(bào)告第四集,該研究分析了全球IoT裝置在2017年7月1日至12月31日期間所遭受的Telnet攻擊����。該證據(jù)顯示殭尸物聯(lián)網(wǎng)的成長與進(jìn)化勢必將帶來混亂與混亂。
F5 Networks發(fā)表了“獵殺IoT”(The Hunt for
IoT)系列報(bào)告第四集���,該研究分析了全球IoT裝置在2017年7月1日至12月31日期間所遭受的Telnet攻擊�����。該證據(jù)顯示殭尸物聯(lián)網(wǎng)的成長與進(jìn)化勢必將帶來混亂與混亂���。
根據(jù)創(chuàng)新擴(kuò)散理論(Diffusion of
Innovation),目前尚未跨越鴻溝到達(dá)物聯(lián)網(wǎng)(IoT)主流市場采納(目前的部署數(shù)量為84億�,預(yù)測2020年將達(dá)200~300億,2035年達(dá)到1兆)���。被駭?shù)腎oT裝置試圖跨越鴻溝到未來���,未來應(yīng)該是光明且自動化的�,但如果不處理好威脅問題的話�,未來愿景將無法實(shí)現(xiàn)。
F5
Labs與其數(shù)據(jù)合作伙伴Loryka一起追蹤了兩年的“獵殺IoT”�。主要圍繞23端口Telnet暴力攻擊,因?yàn)樗鼈兪瞧茐奈锫?lián)網(wǎng)設(shè)備最簡單�����、最常見危及物聯(lián)網(wǎng)設(shè)備的安全的方式�����。從技術(shù)的角度來看�,他們只需要在攻擊計(jì)劃中采取更多步驟,并且針對非標(biāo)準(zhǔn)端口和協(xié)議�、特定制造商、設(shè)備類型或型號�,就可以全面發(fā)動攻擊。例如��,至少有4,600萬個(gè)家庭路由器容易受到攻擊�。
我們已經(jīng)目睹了攻擊者正在演變他們的手段和目標(biāo)市場,以便像合法企業(yè)和金融市場那樣透過妥協(xié)的物聯(lián)網(wǎng)設(shè)備來賺錢����。
該研究也發(fā)現(xiàn)��,有新的威脅網(wǎng)絡(luò)和IP地址不斷地加入物聯(lián)網(wǎng)狩獵行列�����,成為新威脅參與者,并且隨著時(shí)間的推移�����,已經(jīng)演變?yōu)橐恢鹿泊娴捻敿壨{參與者�����。它們可能使用受歡迎的網(wǎng)絡(luò)如托管服務(wù)提供商��,或電信網(wǎng)絡(luò)中的住宅物聯(lián)網(wǎng)設(shè)備����,利用家庭路由器、無線IP攝影機(jī)和DV
R透過Telnet進(jìn)行攻擊��,并發(fā)起DDoS攻擊���。
殭尸物聯(lián)網(wǎng)的威脅持續(xù)存在
經(jīng)過兩年的數(shù)據(jù)分析后��,仍然看到同樣的威脅IP���、網(wǎng)絡(luò)和國家在發(fā)動攻擊����。這代表若不是惡意流量未被處理��,否則就是遭感染的IoT裝置沒有接受凈化���,要不然不會一再地看到相同的威脅者���。這些攻擊建立了強(qiáng)大的殭尸物聯(lián)網(wǎng),具備發(fā)動全球毀滅性攻擊的能力��,而安全產(chǎn)業(yè)也越來越頻繁的發(fā)現(xiàn)它們�,如圖1所示。
▲ 圖1 由物聯(lián)網(wǎng)攻擊機(jī)器人(Thingbot)發(fā)起的前十五大攻擊�����。
因此�����,在本期報(bào)告首度揭露這些攻擊IP。非僅殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的頻率增加��,單是2018年1月就有四個(gè)新殭尸物聯(lián)網(wǎng)�����,而且攻擊者的攻擊方法持續(xù)進(jìn)化��,除了Telnet之外��,還瞄準(zhǔn)一些協(xié)議��,為的是確保能夠盡可能獵殺最多脆弱的IoT裝置���,如圖2所示。
▲圖2 透過Telnet實(shí)施的網(wǎng)絡(luò)攻擊�����。
Telnet攻擊構(gòu)筑大規(guī)模殭尸物聯(lián)網(wǎng)
盡管IoT攻擊已擴(kuò)充至Telnet以外的協(xié)議�,不過Telnet暴力攻擊仍然是最普遍使用的手法,數(shù)量從2016到2017成長249%���。
2017年7~12月期間的攻擊數(shù)量低于前六個(gè)月期��,然而攻擊層級則和Mirai相當(dāng)���,而且比用來構(gòu)筑Mirai的數(shù)量還多�����,如圖3所示�。這個(gè)攻擊數(shù)量足以構(gòu)筑許多相當(dāng)大規(guī)模的殭尸物聯(lián)網(wǎng)��,因此縱使數(shù)量減少�,但并不表示攻擊者興趣減低或者威脅降低,而是因?yàn)檫^去已有如此眾多Telnet攻擊���,因此攻擊者達(dá)到一個(gè)飽和點(diǎn)���。Telnet唾手可得的果實(shí)很容易被撿走。
▲圖3 2016年1月至2017年12月每季Telnet攻擊統(tǒng)計(jì)����。
若以過去兩年的Telnet攻擊活動和Telnet殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的時(shí)候做比較,就可以從數(shù)據(jù)看出安全研究人員總是比攻擊者落后數(shù)個(gè)月(若非數(shù)年的話)��。已報(bào)導(dǎo)的Telnet攻擊,至少已建構(gòu)九個(gè)相當(dāng)大的殭尸物聯(lián)網(wǎng)�����,而且還有空間可建構(gòu)更多殭尸物聯(lián)網(wǎng)�����,只是目前尚未發(fā)現(xiàn)(圖4)���。
▲圖4 來自Thingbot的Telnet攻擊統(tǒng)計(jì)��。
Mirai殭尸物聯(lián)網(wǎng)正在增長
已知的殭尸物聯(lián)網(wǎng)例如Mirai和Persirai(透過Telnet攻擊)盡管大家普遍知道它們的存在和威脅�,但仍繼續(xù)成長��。從2017年6月到12月�,Mirai在拉丁美洲顯著成長�����,而在美國���、加拿大��、歐洲�、中東、非洲���、亞洲和澳洲也都呈現(xiàn)中度成長���,如圖5所示。
▲圖5 2017年12月全球Mirai殭尸物聯(lián)網(wǎng)分布圖�。
依照地區(qū)區(qū)分攻擊來源和目標(biāo)
中國、美國和俄羅斯是三大攻擊國��。在這段期間��,44%攻擊源自中國���,另外44%源自十大攻擊國的第2到第10排名國家����,每一個(gè)國家占總數(shù)量的10%以下����。其余22%源自一些流量少于1%的數(shù)個(gè)國家,如圖6所示�。
▲圖6 前十名攻擊來源國家��。
沒有特別突出的IoT攻擊目標(biāo)國���,因?yàn)榇嗳醯腎oT裝置無差別地部署在全球。沒有任何國家擁有一個(gè)未遭受攻擊的安全I(xiàn)oT部署��。在報(bào)告的六個(gè)月期間�,最常遭受攻擊的國家為美國、新加坡���、西班牙和匈牙利���,如圖7所示。
▲圖7 前十名最常遭受攻擊的國家��。
依產(chǎn)業(yè)區(qū)分攻擊
在這段期間����,前五十大攻擊自治系統(tǒng)編號(ASN)有80%屬于電信或ISP公司�,那正是IoT裝置駐留的地方(相較于主機(jī)代管公司的服務(wù)器)。若要讓IoT發(fā)動攻擊��,就必須駭入這些裝置��。
威脅的下一步?
物聯(lián)網(wǎng)裝置由于安全性很差而且實(shí)行全球規(guī)模的廣泛部署,因此必須將它們視為一種迫切的威脅��。十年來����,它們不但已被駭并且繼續(xù)被當(dāng)成攻擊的武器,而我們甚至還沒有邁入IoT的大量消費(fèi)者采納階段���。如果不開始著手處理這個(gè)問題���,可以確定的是,未來將會很混亂����。
IoT安全性必須靠個(gè)人、政府和制造商共同維護(hù)���,包括全球網(wǎng)民應(yīng)該做的事�、企業(yè)和政府(他們都建置IoT并遭受IoT攻擊)應(yīng)該做的事��、以及IoT制造商應(yīng)該結(jié)合到產(chǎn)品開發(fā)生命周期的措施�����,詳如表1。
將威脅映像到活動主題
殭尸物聯(lián)網(wǎng)是利用被駭?shù)腎oT裝置建構(gòu)而成���,它和傳統(tǒng)殭尸網(wǎng)絡(luò)不同的地方在于修復(fù)能力�����。物聯(lián)網(wǎng)裝置典型上都屬于非管理型的裝置���。一個(gè)遭入侵的IoT裝置被其所有者發(fā)現(xiàn)并予以修復(fù)的機(jī)會相當(dāng)?shù)停@正是為什么過了二年還會看到相同的攻擊裝置����。惡名昭彰的Mirai也因?yàn)槿绱耍坏珱]有被毀滅��,反而繼續(xù)成長����。
殭尸物聯(lián)網(wǎng)可以發(fā)動一如傳統(tǒng)殭尸網(wǎng)絡(luò)所能的任何攻擊,而且因?yàn)樗鼈兊囊?guī)模而更具危害性��。這些陳述和殭尸物聯(lián)網(wǎng)數(shù)據(jù)�����,可使用于任何討論殭尸網(wǎng)絡(luò)流量與攻擊的主題活動����。
表1 IoT安全性須由所有人共同維護(hù)
在報(bào)告中,整理出已知的殭尸物聯(lián)網(wǎng)與它們發(fā)動的攻擊�,以及可以運(yùn)用殭尸物聯(lián)網(wǎng)的十五種不同攻擊類型(可供使用于意見領(lǐng)袖及未來討論)。因此���,獵殺IoT報(bào)告系列可用于支持現(xiàn)在所有的安全活動�����,例如:
DDoS:殭尸物聯(lián)網(wǎng)可以發(fā)動每秒Terabit等級的全球毀滅性DDoS攻擊�,但也經(jīng)常被用于較小規(guī)模的DDoS for Hire攻擊����。
WAF:殭尸物聯(lián)網(wǎng)發(fā)動Web應(yīng)用入侵行動,駭入應(yīng)用程序并且進(jìn)行加密貨幣挖礦(Mine
Cryptocurrency)����、收集數(shù)據(jù)、利用應(yīng)用程序作為垃圾郵件轉(zhuǎn)送或點(diǎn)擊農(nóng)場(Click Farm)等���。
SSL-O:殭尸物聯(lián)網(wǎng)侵入網(wǎng)絡(luò)和應(yīng)用程序���,并利用加密以掩飾它們的惡意流量�,需要解密才能分辨攻擊���。
訪問控制/聯(lián)合身分識別:殭尸物聯(lián)網(wǎng)利用收集自IoT裝置和其他入侵方式取得的帳密��,對應(yīng)用程序發(fā)動帳密填充攻擊�。
Web詐欺:殭尸物聯(lián)網(wǎng)攜載銀行木馬病毒�����。
