在F5實驗室最新發(fā)布的物聯(lián)網(wǎng)安全報告中�����,分析了2018年1月至6月期間全球物聯(lián)網(wǎng)(IoT)設(shè)備受攻擊的數(shù)據(jù)�����,涵蓋物聯(lián)網(wǎng)設(shè)備使用的主流服務(wù)和20個端口的分析數(shù)據(jù)�。
以下是從2018年1月1日到6月30日基于收集的數(shù)據(jù)得出的結(jié)果概要:
物聯(lián)網(wǎng)設(shè)備已成為網(wǎng)絡(luò)惡意活動的頭號目標(biāo),受到的攻擊數(shù)量遠(yuǎn)超Web和應(yīng)用程序服務(wù)器�、電子郵件服務(wù)器和數(shù)據(jù)庫。
遠(yuǎn)程登陸攻擊占比下降�,原因在于通過23端口監(jiān)聽的物聯(lián)網(wǎng)設(shè)備已被Thingbot僵尸網(wǎng)絡(luò)移除。
今年3月,針對每個受監(jiān)聽端口的攻擊流量劇增�。基于對攻擊流量的解析����,其中84%來自電信運(yùn)營商����,因此可推測電信運(yùn)行商掌握的物聯(lián)網(wǎng)設(shè)備中有不少已被僵尸網(wǎng)絡(luò)感染。
針對物聯(lián)網(wǎng)設(shè)備的攻擊類型���,SSH爆破攻擊排第一�,其次是遠(yuǎn)程登陸��。
來自伊朗和伊拉克的IP地址首次進(jìn)入攻擊IP地址列表前50名���。
攻擊IP地址列表前50名都是新面孔���,在上一篇報告中前50個攻擊IP中74%曾經(jīng)出現(xiàn)過。也就是說�,之前受感染的設(shè)備可能被全部清理了。
西班牙是受攻擊最嚴(yán)重的國家�,受攻擊的數(shù)量占比高達(dá)80%。在過去一年半的時間里,西班牙一直是“穩(wěn)坐第一”��。顯然�,西班牙的物聯(lián)網(wǎng)安全存在基礎(chǔ)性和結(jié)構(gòu)性的問題。
巴西�、中國、日本�、波蘭和美國是主要的攻擊來源國。
概述
F5實驗室在2018年上半年共監(jiān)控到13個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)�����,2016年為9個��,2017年為6個��,僵尸網(wǎng)絡(luò)形成的增速驚人��。F5實驗室監(jiān)控僵尸網(wǎng)絡(luò)中的設(shè)備類型���、感染途徑�、以及發(fā)現(xiàn)手段�,以下是這13個僵尸網(wǎng)絡(luò)的概況:
VPN Filter:收集用戶憑據(jù),安裝網(wǎng)絡(luò)嗅探器以監(jiān)控ICS協(xié)議��,最后安裝tor節(jié)點。
Wicked:目標(biāo)對象為SOHO路由器��、CCTV和DVR���,安裝SORA和OWARI���,兩者都是提供“租用服務(wù)”的僵尸網(wǎng)絡(luò)。
Roaming Mantis:寄生在Wi-Fi路由器以及Android和iOS手機(jī)���,并在受感染的設(shè)備上進(jìn)行DNS劫持和地雷加密貨幣。
Omni:危害GPON家用路由器�����,用于加密或DDoS攻擊����。
UPnProxy:掃描SOHO路由器并安裝可繞過訪問控制的代理服務(wù)器,之后發(fā)起:垃圾郵件和網(wǎng)絡(luò)釣魚活動;點擊欺詐;賬戶接管和信用卡欺詐;DDoS攻擊;安裝其他僵尸網(wǎng)絡(luò);分發(fā)惡意軟件�。
OWARI:接管SOHO路由器,作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租���。
SORA:接管SOHO路由器���,作為多用僵尸網(wǎng)絡(luò)“服務(wù)”出租���。
DoubleDoor:目標(biāo)對象為受瞻博網(wǎng)絡(luò)家庭防火墻保護(hù)的SOHO路由器,可在目標(biāo)設(shè)備上安裝代理服務(wù)器�����,發(fā)起多種類型的攻擊�。
OMG:接管SOHO路由器、無線IP攝像機(jī)和DVR����,安裝代理服務(wù)器,可發(fā)起多種類型的攻擊����。
JenX:入侵SOHO路由器和無線芯片組,發(fā)起DDoS攻擊���。JenX是一種DDoS-for-Hire服務(wù)���,以20美元的價格提供300Gbps攻擊。
Hide’n Seek:接管IP攝像機(jī)�����,能夠發(fā)起的攻擊類型目前未知。
Pure Masuta:目標(biāo)對象為家用路由器�,能夠發(fā)起的攻擊類型目前未知。
Masuta:接管家用路由器并發(fā)動DDoS攻擊��。
受感染數(shù)量最多的物聯(lián)網(wǎng)設(shè)備依次為SOHO路由器����、IP攝像機(jī)、DVR和CCTV�����。
圖1:過去10年僵尸網(wǎng)絡(luò)感染的設(shè)備類型分布
以往物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)最常見的攻擊類型是對目標(biāo)對象發(fā)起DDoS���,在2018年形勢發(fā)生了變化。僵尸網(wǎng)絡(luò)的掌控者開始轉(zhuǎn)向DDoS多用途攻擊“服務(wù)”的出租����,安裝代理服務(wù)器用于發(fā)動指定類型的惡意攻擊,安裝節(jié)點和數(shù)據(jù)包嗅探器發(fā)起PDoS攻擊�,DNS劫持、憑證收集����、憑證填充和欺詐木馬等惡意活動�����。
圖2:在過去10年中�����,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)起的惡意活動類型分布
構(gòu)建物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主流方法是在互聯(lián)網(wǎng)上對全球范圍內(nèi)的設(shè)備進(jìn)行��,查找開放的遠(yuǎn)程服務(wù)��,比如說物聯(lián)網(wǎng)領(lǐng)域?qū)S玫腍NAP�����、UPnP����、SOAP、CVE��,以及一些TCP端口。
圖3:過去10年中����,感染方式分布
研究報告指出,蜂窩物聯(lián)網(wǎng)網(wǎng)關(guān)與傳統(tǒng)的有線和無線物聯(lián)網(wǎng)設(shè)備一樣脆弱����,尤其是物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)設(shè)備都很容易受到身份驗證攻擊。報告指出����,62%的被測設(shè)備易受基于弱密碼和默認(rèn)憑證的遠(yuǎn)程訪問攻擊。這些設(shè)備被用于構(gòu)建帶外網(wǎng)絡(luò)���、創(chuàng)建網(wǎng)絡(luò)后門、進(jìn)行網(wǎng)絡(luò)間諜活動��、實施中間人攻擊��、DNS劫持等。
“最受歡迎”的物聯(lián)網(wǎng)設(shè)備端口前20名
大多數(shù)物聯(lián)網(wǎng)設(shè)備已從Telnet轉(zhuǎn)為使用SSH進(jìn)行遠(yuǎn)程管理����,而SOHO路由器、電視機(jī)����、游戲機(jī)和ICS等物聯(lián)網(wǎng)設(shè)備已經(jīng)使用80端口很久了。智能電視和游戲機(jī)會定期啟動網(wǎng)絡(luò)服務(wù)器����,使用UPnP管理自動打開SOHO路由器或防火墻的端口。Radiation����、Reaper和Wicked均瞄準(zhǔn)了HTTP協(xié)議的80、81和8080端口�。
圖4:受攻擊數(shù)量最多的20個IoT設(shè)備端口的時間分布
十大攻擊目標(biāo)國家和地區(qū)
西班牙自2017年第一季度以來一直穩(wěn)坐物聯(lián)網(wǎng)惡意活動“最受歡迎的”目標(biāo)國家,2018年1月1日至6月30日期間遭到的攻擊流量占比高達(dá)80%�,該數(shù)據(jù)直接反映出西班牙物聯(lián)網(wǎng)資產(chǎn)的脆弱程度。
圖5:十大攻擊目標(biāo)國家和地區(qū)
在過去一年半的時間里����,匈牙利在受攻擊最多的國家中也占據(jù)了一席之地。排在前三位的其他國家是美國���、俄羅斯和新加坡����。
表2:過去兩年中前10個攻擊目的地國家
十大攻擊源國家和地區(qū)
2018年1月1日至6月30日期間,來自巴西的流量最多��,該總攻擊流量的18%�,這可能與前段事件巴西國內(nèi)大量路由器遭到劫持有關(guān)。排在巴西之后的是我國���。
圖6:十大攻擊源國家
來自日本的攻擊流量從2017年第三季度和第四季度的占總攻擊流量的1%大幅上升到2018年第一季度和第二季度總攻擊流量的9%�。波蘭和伊朗的2018年第一季度和第二季度數(shù)據(jù)也值得關(guān)注����,在過去的兩年半中,這兩個國家僅排在前十名上下��,這兩個國家在2017年第一季度和第二季度中發(fā)起的攻擊占比不到1%����。
表3:過去兩年中排名前10位的攻擊來源國家和地區(qū)
排名前50的攻擊IP地址
以下排名前50的攻擊IP地址按攻擊流量由高到底排列。該列表中的所有
IP地址都是新出現(xiàn)的�。這種情況有幾種可能:以前受感染設(shè)備被全網(wǎng)清理;新的頂級玩家興起;被監(jiān)控設(shè)備的所有者將惡意活動轉(zhuǎn)移到了新系統(tǒng)��。
這一時期最明顯的變化是來自伊朗和伊拉克的IP地址數(shù)量激增。
排名前50強(qiáng)的攻擊IP所處行業(yè)
攻擊中的大多數(shù)來自電信和ISP公司���,這些公司為物聯(lián)網(wǎng)設(shè)備所在的海量家庭��、辦公室和園區(qū)提供互聯(lián)網(wǎng)服務(wù)�。一旦物聯(lián)網(wǎng)設(shè)備被感染���,它就會被用來掃描其他物聯(lián)網(wǎng)設(shè)備來傳播惡意軟件��,
大多數(shù)分布式掃描模型并且還用于攻擊��。因此�����,電信/互聯(lián)網(wǎng)服務(wù)提供商產(chǎn)生了大部分物聯(lián)網(wǎng)攻擊流量這個結(jié)果在意料之中�����。如果托管服務(wù)提供商的攻擊流量明顯增加����,表明攻擊者正在構(gòu)建新的僵尸網(wǎng)絡(luò)。
產(chǎn)業(yè)安全展望
當(dāng)Mirai僵尸網(wǎng)絡(luò)以雷霆之勢橫掃全球時�,相應(yīng)的防御措施和行動可謂寒心。想要擊垮Mirai��,存在以下幾個難點:許多受感染的物聯(lián)網(wǎng)設(shè)備(1)無法進(jìn)行固件更新��,(2)用戶技術(shù)有限���,(3)廠商沒有動力更新固件��、設(shè)備或切斷與受感染設(shè)備的連接���,因為這同時會中斷服務(wù)。
自Mirai源代碼公開以來�,它已經(jīng)以Annie、Satori/Okiru�����、Persirai���、Masuta���、Pure
Masuta��、OMG��、SORA、OWARI�、Omni和Wicked的面貌重生過10次。Mirai本體威脅仍然迫在眉睫�,它的兄弟姐們的手段更是五花八門,不僅僅能夠發(fā)動DDoS攻擊����,部署代理服務(wù)器、挖礦腳本����、安裝其他僵尸網(wǎng)絡(luò)程序供”出租“等更是不在話下。這也導(dǎo)致了自2017年12月30日F5實驗室報告Mirai增長以來���,世界各地的Mirai惡意軟件感染地區(qū)(黃點)明顯增長�����。
地圖上的每個點代表Mirai感染設(shè)備的緯度和經(jīng)度坐標(biāo)��。紅點代表“掃描器”節(jié)點�����,用于搜索其他易受感染的物聯(lián)網(wǎng)設(shè)備��。黃點表示可以獲被植入最新的惡意軟件的托管系統(tǒng)��。
總結(jié)
物聯(lián)網(wǎng)設(shè)備現(xiàn)在要以十億計算���,現(xiàn)有的安全標(biāo)準(zhǔn)(或壓根沒有安全標(biāo)準(zhǔn))應(yīng)用全球的威脅態(tài)勢早已無用���,形勢難以逆轉(zhuǎn)。
未來可以預(yù)見:
惡意挖礦軟件在物聯(lián)網(wǎng)系統(tǒng)中的傳播途徑更加多樣化�����,如SOHO路由器�、游戲機(jī)等。
勒索軟件向要害設(shè)施和機(jī)構(gòu)進(jìn)發(fā)�,尤其是工業(yè)控制系統(tǒng)、機(jī)場�、醫(yī)院、ATM等���。
更多包含網(wǎng)絡(luò)后門的物聯(lián)網(wǎng)系統(tǒng)出現(xiàn)�����,如蜂窩網(wǎng)關(guān)����、暖通空調(diào)系統(tǒng)、恒溫器��、IP攝像機(jī)����、自動售貨機(jī)����、咖啡機(jī)等。這些設(shè)備受感染后可監(jiān)視和竊取受數(shù)據(jù)和知識產(chǎn)權(quán)(IP)保住的資產(chǎn)����。
針對工業(yè)控制系統(tǒng)的間諜軟件興起。
針對國家關(guān)鍵工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)戰(zhàn)���,包括物理滲透和間諜活動����。
這些趨勢將為部署物聯(lián)網(wǎng)設(shè)備的組織造成重大損失?����?梢哉f物聯(lián)網(wǎng)安全已經(jīng)到了危急關(guān)頭���,每家公司��、每個組織都需要為物聯(lián)網(wǎng)攻擊做好準(zhǔn)備���,每個用戶也要站出來保護(hù)自己的家園。物聯(lián)網(wǎng)產(chǎn)業(yè)體系的產(chǎn)品先行之風(fēng)要煞一煞�,用安全賦能物聯(lián)網(wǎng)。
