2018年上半年物聯網惡意活動&僵尸網絡數據摘要
前言
在F5實驗室最新發布的??物聯網安全報告??中,分析了2018年1月至6月期間全球物聯網(IoT)設備受攻擊的數據,涵蓋物聯網設備使用的主流服務和20個端口的分析數據。
以下是從2018年1月1日到6月30日基于收集的數據得出的結果概要:
- 物聯網設備已成為網絡惡意活動的頭號目標,受到的攻擊數量遠超Web和應用程序服務器、電子郵件服務器和數據庫。
- 遠程登陸攻擊占比下降,原因在于通過23端口監聽的物聯網設備已被Thingbot僵尸網絡移除。
- 今年3月,針對每個受監聽端口的攻擊流量劇增。基于對攻擊流量的解析,其中84%來自電信運營商,因此可推測電信運行商掌握的物聯網設備中有不少已被僵尸網絡感染。
- 針對物聯網設備的攻擊類型,SSH爆破攻擊排第一,其次是遠程登陸。
- 來自伊朗和伊拉克的IP地址首次進入攻擊IP地址列表前50名。
- 攻擊IP地址列表前50名都是新面孔,在上一篇報告中前50個攻擊IP中74%曾經出現過。也就是說,之前受感染的設備可能被全部清理了。
- 西班牙是受攻擊最嚴重的國家,受攻擊的數量占比高達80%。在過去一年半的時間里,西班牙一直是“穩坐第一”。顯然,西班牙的物聯網安全存在基礎性和結構性的問題。
- 巴西、中國、日本、波蘭和美國是主要的攻擊來源國。
概述
F5實驗室在2018年上半年共監控到13個物聯網僵尸網絡,2016年為9個,2017年為6個,僵尸網絡形成的增速驚人。F5實驗室監控僵尸網絡中的設備類型、感染途徑、以及發現手段,以下是這13個僵尸網絡的概況:
- VPN Filter:收集用戶憑據,安裝網絡嗅探器以監控ICS協議,最后安裝tor節點。
- Wicked:目標對象為SOHO路由器、CCTV和DVR,安裝SORA和OWARI,兩者都是提供“租用服務”的僵尸網絡。
- Roaming Mantis:寄生在Wi-Fi路由器以及Android和iOS手機,并在受感染的設備上進行DNS劫持和地雷加密貨幣。
- Omni:危害GPON家用路由器,用于加密或DDoS攻擊。
- UPnProxy:掃描SOHO路由器并安裝可繞過訪問控制的代理服務器,之后發起:垃圾郵件和網絡釣魚活動;點擊欺詐;賬戶接管和信用卡欺詐;DDoS攻擊;安裝其他僵尸網絡;分發惡意軟件。
- OWARI:接管SOHO路由器,作為多用僵尸網絡“服務”出租。
- SORA:接管SOHO路由器,作為多用僵尸網絡“服務”出租。
- DoubleDoor:目標對象為受瞻博網絡家庭防火墻保護的SOHO路由器,可在目標設備上安裝代理服務器,發起多種類型的攻擊。
- OMG:接管SOHO路由器、無線IP攝像機和DVR,安裝代理服務器,可發起多種類型的攻擊。
- JenX:入侵SOHO路由器和無線芯片組,發起DDoS攻擊。JenX是一種DDoS-for-Hire服務,以20美元的價格提供300Gbps攻擊。
- Hide’n Seek:接管IP攝像機,能夠發起的攻擊類型目前未知。
- Pure Masuta:目標對象為家用路由器,能夠發起的攻擊類型目前未知。
- Masuta:接管家用路由器并發動DDoS攻擊。
受感染數量最多的物聯網設備依次為SOHO路由器、IP攝像機、DVR和CCTV。
?? 
圖1:過去10年僵尸網絡感染的設備類型分布
以往物聯網僵尸網絡最常見的攻擊類型是對目標對象發起DDoS,在2018年形勢發生了變化。僵尸網絡的掌控者開始轉向DDoS多用途攻擊“服務”的出租,安裝代理服務器用于發動指定類型的惡意攻擊,安裝節點和數據包嗅探器發起PDoS攻擊,DNS劫持、憑證收集、憑證填充和欺詐木馬等惡意活動。
?? 
圖2:在過去10年中,物聯網僵尸網絡發起的惡意活動類型分布
構建物聯網僵尸網絡的主流方法是在互聯網上對全球范圍內的設備進行,查找開放的遠程服務,比如說物聯網領域專用的HNAP、UPnP、SOAP、CVE,以及一些TCP端口。
?? 
圖3:過去10年中,感染方式分布
研究報告指出,蜂窩物聯網網關與傳統的有線和無線物聯網設備一樣脆弱,尤其是物聯網基礎設施與物聯網設備都很容易受到身份驗證攻擊。報告指出,62%的被測設備易受基于弱密碼和默認憑證的遠程訪問攻擊。這些設備被用于構建帶外網絡、創建網絡后門、進行網絡間諜活動、實施中間人攻擊、DNS劫持等。
“最受歡迎”的物聯網設備端口前20名
?? 
大多數物聯網設備已從Telnet轉為使用SSH進行遠程管理,而SOHO路由器、電視機、游戲機和ICS等物聯網設備已經使用80端口很久了。智能電視和游戲機會定期啟動網絡服務器,使用UPnP管理自動打開SOHO路由器或防火墻的端口。Radiation、Reaper和Wicked均瞄準了HTTP協議的80、81和8080端口。
?? 
圖4:受攻擊數量最多的20個IoT設備端口的時間分布
十大攻擊目標國家和地區
西班牙自2017年第一季度以來一直穩坐物聯網惡意活動“最受歡迎的”目標國家,2018年1月1日至6月30日期間遭到的攻擊流量占比高達80%,該數據直接反映出西班牙物聯網資產的脆弱程度。
在過去一年半的時間里,匈牙利在受攻擊最多的國家中也占據了一席之地。排在前三位的其他國家是美國、俄羅斯和新加坡。
十大攻擊源國家和地區
2018年1月1日至6月30日期間,來自巴西的流量最多,該總攻擊流量的18%,這可能與前段事件巴西國內大量路由器遭到劫持有關。排在巴西之后的是我國。
來自日本的攻擊流量從2017年第三季度和第四季度的占總攻擊流量的1%大幅上升到2018年第一季度和第二季度總攻擊流量的9%。波蘭和伊朗的2018年第一季度和第二季度數據也值得關注,在過去的兩年半中,這兩個國家僅排在前十名上下,這兩個國家在2017年第一季度和第二季度中發起的攻擊占比不到1%。
?? 
表3:過去兩年中排名前10位的攻擊來源國家和地區
排名前50的攻擊IP地址
以下排名前50的攻擊IP地址按攻擊流量由高到底排列。該列表中的所有 IP地址都是新出現的。這種情況有幾種可能:以前受感染設備被全網清理;新的頂級玩家興起;被監控設備的所有者將惡意活動轉移到了新系統。
這一時期最明顯的變化是來自伊朗和伊拉克的IP地址數量激增。
?? 
?? 
?? 
?? 
?? 
排名前50強的攻擊IP所處行業
攻擊中的大多數來自電信和ISP公司,這些公司為物聯網設備所在的海量家庭、辦公室和園區提供互聯網服務。一旦物聯網設備被感染,它就會被用來掃描其他物聯網設備來傳播惡意軟件, 大多數分布式掃描模型并且還用于攻擊。因此,電信/互聯網服務提供商產生了大部分物聯網攻擊流量這個結果在意料之中。如果托管服務提供商的攻擊流量明顯增加,表明攻擊者正在構建新的僵尸網絡。
?? 
產業安全展望
當Mirai僵尸網絡以雷霆之勢橫掃全球時,相應的防御措施和行動可謂寒心。想要擊垮Mirai,存在以下幾個難點:許多受感染的物聯網設備(1)無法進行固件更新,(2)用戶技術有限,(3)廠商沒有動力更新固件、設備或切斷與受感染設備的連接,因為這同時會中斷服務。
自Mirai源代碼公開以來,它已經以Annie、Satori/Okiru、Persirai、Masuta、Pure Masuta、OMG、SORA、OWARI、Omni和Wicked的面貌重生過10次。Mirai本體威脅仍然迫在眉睫,它的兄弟姐們的手段更是五花八門,不僅僅能夠發動DDoS攻擊,部署代理服務器、挖礦腳本、安裝其他僵尸網絡程序供”出租“等更是不在話下。這也導致了自2017年12月30日F5實驗室報告Mirai增長以來,世界各地的Mirai惡意軟件感染地區(黃點)明顯增長。
地圖上的每個點代表Mirai感染設備的緯度和經度坐標。紅點代表“掃描器”節點,用于搜索其他易受感染的物聯網設備。黃點表示可以獲被植入最新的惡意軟件的托管系統。
總結
物聯網設備現在要以十億計算,現有的安全標準(或壓根沒有安全標準)應用全球的威脅態勢早已無用,形勢難以逆轉。
未來可以預見:
- 惡意挖礦軟件在物聯網系統中的傳播途徑更加多樣化,如SOHO路由器、游戲機等。
- 勒索軟件向要害設施和機構進發,尤其是工業控制系統、機場、醫院、ATM等。
- 更多包含網絡后門的物聯網系統出現,如蜂窩網關、暖通空調系統、恒溫器、IP攝像機、自動售貨機、咖啡機等。這些設備受感染后可監視和竊取受數據和知識產權(IP)保住的資產。
- 針對工業控制系統的間諜軟件興起。
- 針對國家關鍵工業控制系統的網絡戰,包括物理滲透和間諜活動。
這些趨勢將為部署物聯網設備的組織造成重大損失。可以說物聯網安全已經到了危急關頭,每家公司、每個組織都需要為物聯網攻擊做好準備,每個用戶也要站出來保護自己的家園。物聯網產業體系的產品先行之風要煞一煞,用安全賦能物聯網。
