返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
F5实验室物联网安全研究报告:ThingBots的崛起
2017-08-22 IT运维网 / 转载

    物联网(IoT),特别是攻击着猎取地可利用的物联网设备,是F5实验室这一年多以来的主要研究课题。之所以关注IoT安全,是由于物联网设备已经成为当今的僵尸网络构建者“选定的网络武器交付系统”。为什么不呢?世界上确实已有几十亿的物联网设备,而且其中大部分是容易访问(通过telnet)且容易入侵的(由于缺乏安全控制)。既然有如此多的“免费”设备可供使用,攻击者自然乐意省掉在托管环境中租用昂贵的资源来构建僵尸网络。

    在研究过程中,所有的迹象都表明如今的“僵尸网络”,或“thingbots”(专门利用物联网设备构建的僵尸网络)将成为一个未来暗网的基础设施。

这已经是关于这一话题的第三份半年年度报告,我们一直在持续跟踪此类远程攻击活动。通过一系列受感染系统的全球映像显示,我们跟踪Mirai和一个新的被称为Persirai的IoT僵尸网络的发展轨迹,与此同时,还列出了攻击者在对物联网设备发起蛮力攻击时最常用的凭据列表。

    依据2017年1月1日至2017年6月30日之间收集的数据,进行统计分析,得出的主要结果如下所述:

        • Telnet攻击活动于去年同期相比增长了280%,其中包括由于Mirai恶意软件及其攻击活动的大幅增长。

        • 统计出的攻击活动规模水平,与Mirai或Persirai目前的规模水平并不相符,这表明有其他的thingbots被建立,只是我们还不知道。除了Marai之外没有观察到任何大规模的攻击活动,很可能这些thingbots只是在为发动下一轮攻击做准备。

       • 这一时期93%的攻击发生在一月和二月,3月至六月活动明显下降。这可能意味着攻击者“侦察”阶段已经结束,“构建”阶段已经开始。或者,也有可能是攻击者由于影子经纪人发布的EternalBlue而一时分心(被诱惑)去做其他事情了。

       • 本报告期内,最活跃的攻击国家是西班牙,占发动的所有攻击的83%,而之前两个时期最活跃的国家中国,活动显著下降,总攻击量中贡献小于1%。(有可能是中国正在清理被入侵的物联网系统?)

       • 排名前10攻击IP地址全部来自一个西班牙的托管服务提供商网络:SoloGigabit。

    SoloGigabit是这一时期来自西班牙的所有攻击的来源。考虑到SoloGigabit是一个托管服务提供商拥有“bullet proof”(防弹)的声誉,我们认为这是攻击者的直接流量而不是被感染的物联网设备受僵尸网络操控而做的攻击。

       • 排名前50的攻击IP地址解析为ISP/电信公司和主机托管提供商。虽然在前50名中ISP和电信的IP地址占比较多,但是从攻击数量观察的结果可知, 绝大多数的攻击来自于主机托管提供商。

       • 尽管物联网设备以DDoS攻击而闻名,但它们也被用于治理thingbots,在它们被用于攻击和托管银行木马基础设施之前,从中清理出来易受感染的IoT设备。物联网设备是黑客行为主义攻击和民族-国家网络战争攻击的目标。

       • 正如我们在这份报告中所看到的Persirai的情况,目前的攻击者构建thingbot的基础,趋向于基于具体披露的漏洞,而不是必须启动一个大型侦察扫描然后暴力破解账户凭据。

    从制造商所提供产品的安全的角度来看,物联网设备的状态并没有改变。可以预料到短期时间内,物联网设备将仍然是攻击者的网络武器库中最容易使用的工具之一。我们也将继续看到大规模的thingbots将被创建,直到物联网设备的制造商们被迫确保这些设备的安全、召回产品或屈从于买家拒绝购买易受攻击的设备的压力而采取积极措施。

    与此同时,负责任的组织可以通过实施抗DDoS战略来保护自己,确保关键服务的冗余,实现证书填充解决方案,并不断地向员工们宣传物联网设备的潜在危险,以及如何安全地使用它们。

介绍

    很难相信,仅仅在三年前,87%的消费者都还没有听说过“物联网”(IoT)。今天,他们仍然可能不理解这个词,但是他们已经完全地接受了这个词。许多人可能会一口气说出好几种他们每天都会使用物联网设备处理的事务,如使用智能设备设置闹钟、播放音乐、创建待办事项列表;远程遥控家里的照明灯、门锁和恒温器;从一个智能医疗设备上传健康数据(如血压或血糖数据)到医生那里;远程实时监控家里安装的安全摄像头的视频信息等等。

    各种类型的传感器控制我们生活和工作中的最重要的基础设施,物联网是一个把物理世界和虚拟世界连接在一起的最全面的、彻底的技术,也有些人认为在社会和政治方面的影响更为严重。的确,物联网正在重塑商业和制造业,以及作为消费者的大众对待生活、工作和娱乐的方式。

    如今估计已经有84亿个物联网设备正在使用中,2020年这个数字预计将达到200多亿。我们正在迈向一个完全的设备互联的世界(见下图1),不仅仅是一个互联网连接的世界,值得警惕的是,它被证明是危险的,因为它充满诱惑。许多消费者可能会感到震惊,因为他们知道自己的一些物联网设备,如网络摄像头、DVRs和家用路由器等可能已经被入侵了。它们已经成为类似Mirai这样的大型僵尸网络中的一枚棋子。Mirai在2016年底的较为著名的攻击目标包括:主机托管服务提供商Dyn,以及网络巨头Twitter、Net ix、the Guardian,、Reddit和CNN。

图1:互联网“事物”连接着我们周围的世界,并为我们的现代生活方式赋予力量

    有些事实更加发人深省:

       • 攻击者可以利用智能电视,发起间谍活动或中继攻击;

       • 劫持家用路由器发起中间人攻击,收集个人数据和用户凭据,用于在线帐户和公司网络;

       • 医疗植入物如心脏起搏器和除颤器可以被黑客入侵,这可能危及接受者的生命;

       • 专家多年来一直警告,今天生产的大部分智能汽车很容易受到攻击者的远程控制;

       • 主要的交通方式,如地铁、火车、飞机和船只,都依赖于各种各样的物联网传感器,如果被篡改,可能会造成灾难性的破坏或生命损失。

       • 控制公共基础设施(如水处理设施和发电厂)的物联网系统已经被攻破;

       • 未来物联网的攻击类型包括:垃圾邮件中继服务器、点击欺诈(点击付费广告)、广告欺诈(横幅、视频和应用程序的广告)、比特币挖掘和暗网基础设施。

    随着物联网设备在未知领域的革命性实验和适用,漏洞利用的潜力也在不断扩大。目前,投入使用的专门用于跟踪物联网设备组件的专用传感器大约有80多种,使用范围从体脂、心率、重量到放射性、磁场强度和电阻。这些组件使用了不同的芯片组,所有这些组件都具有潜在的危险性。我们也看到各类芯片组被用于更大的、物联网控制的对象(如智能汽车),情况变得更加复杂了,攻击者可以接管诸如速度、刹车、加速、转向等各个功能。

    毫无疑问,现今的物联网威胁景观是巨大的,物联网设备容易遭到入侵的松懈的安全姿态并没有改善,这种情况短期内也不可能迅速得到解决或缓解。这需要立即改变当前的产品开发流程,以及对潜在的易受攻击的数十亿设备的固件更新或产品召回,而在没有立法强制的情况下,这两者都是不可能发生的。所以,目前的现状是,基于物联网的三步攻击计划实现起来仍然非常简易(如下图2所示):扫描脆弱的设备&暴力破解;安装恶意软件并自动构建僵尸网络;发动攻击。

图2:IoT攻击:简单的三部曲

    物联网设备容易受到损害(且攻击影响涉及面广泛)是我们继续研究并发布这份威胁报告的原因。报告中讲述了这种威胁的情况、发展规模、具体的攻击者、目标、设备和方法。

ThingBots(物联网僵尸网络)的崛起

    该报告的标题是“ThingBots”的崛起,主要讲述了攻击者不断演变的攻击方法。在过去,大量的僵尸网络建立在主机托管环境中,需要投入的资源(服务器、内存、地址空间、带宽)非常昂贵,但是物联网设备已经改变了这一切。如今,攻击者只需要破解制造商的物联网设备(比如DVR)的管理证书,他们可以立即获得数千个设备的授权,而这只花费了较少的工作量和资源投入。随着越来越多的物联网设备的出现,我们看到了越来越多的僵尸网络,或者说“ThingBots”,即完全由物联网设备打造的僵尸网络。

接下来,让我们深入了解一下著名的Mirai和新型的Persirai这两个thingbot物联网僵尸网络的情况,已经对2017年4月25日公开的CVE-2017-8225漏洞的利用情况。

Miraithingbot活动的全球地图

    截止到2017年6月,我们对获取到的Mirai恶意软件样本(包括扫描器、加载器和恶意软件系统)在全球的活动情况进行了统计分析。

分析结果显示:Mirai扫描器主要用于搜索互联网中容易入侵的设备,一旦发现脆弱的目标,扫描器会向Mirai的加载器系统报告受害者设备的IP地址、端口和和身份认证凭据。扫描器活动范围主要集中在欧洲、中国、印度和美国东部,参见下图3中红色显示的部分:

图3:Mirai扫描器(全球范围内,2017年6月)

    Mirai加载器是远程管理工具,主要向受害者目标下方僵尸程序二进制代码,加载的端口包括

       • 32/TCP

       • 1099/TCP

       • 2222/TCP

       • 2323/TCP

       • 3232/TCP

       • 5555/TCP

       • 6789/TCP

       • 7547/TCP

       • 19058/TCP

       • 23231/TCP

    全球范围内,Mirai加载器最活跃的部分主要集中在中国、欧洲东部和巴西,参见下图4中绿色所示部分:

图4:Mirai加载器(全球范围内,2017年6月)

    Mirai恶意软件系统托管恶意软件的二进制代码,由加载器推送到扫描器所发现的目标设备上。全球范围内存在的恶意软件系统有限,大部分位于欧洲和美国,亚洲地区的也存在少量。分布情况如下图5中白色部分所示:

图5 :Mirai恶意软件二进制代码(全球范围内,2017年6月)

    在北美洲地区,Mirai扫描器和装载器主要集中在纽约、洛杉矶、旧金山和西雅图。在达拉斯,亚特兰大,坦帕,迈阿密和华盛顿特区也有大量的扫描器。恶意软件二进制代码主要分布在西雅图、旧金山和洛杉矶以及美国中西部地区、德克萨斯和东部沿海地区。下图6对Mirai扫描器(红色)、装载器(绿色)和恶意软件系统(白色)提供了综合的、详细的展示:

图6:综合视图:Mirai的扫描器,装载器和恶意软件(北美洲,2017年6月)

    Mirai扫描器(红色)遍布整个欧洲,但主要集中在英国、意大利、波兰、捷克共和国和罗马尼亚;装载器(绿色)也遍布欧洲,主要集中在荷兰、捷克共和国和罗马尼亚。荷兰是Mirai的扫描器,装载器和恶意软件这三种系统类型都集中分布的地区,并且是世界上恶意软件二进制代码(白色)最集中的地区。如下图7所示:

图7:综合视图:Mirai的扫描器,装载器和恶意软件(欧洲,2017年6月)

    在亚洲地区,Mirai扫描器(红色)和装载器(绿色)主要存在于中国、韩国、越南、台湾、印度、印度尼西亚和菲律宾。恶意软件二进制代码(白色)局限于香港、中国(北京),韩国(汉城和釜山)、台北、台湾、日本(东京和福冈)、胡志明市、越南、新加坡、曼谷、泰国、班加罗尔和印度。如下图8所示:

图8:综合视图:Mirai的扫描器,装载器和恶意软件(亚洲,2017年6月)

    非洲地区Mirai的活动有限,不过在2017年6月依然观察到了有Mirai的网络攻击事件。扫描器在非洲的分布比较广泛,主要分布在沿海城市,集中在加那利群岛、摩洛哥、埃及和南非。装载器主要存在于摩洛哥、埃及、南非和加那利群岛这些沿海城市。非洲只有两个恶意软件代码二进制主机,位于纳米比亚和塞舌尔。

Persiraithingbot活动的全球地图

    下面一系列的图片显示了受Persirai-Thingbot的活动情况,包括受感染系统(基于网络摄像机)和C&C服务器的分布范围。与上文中Mirai的情况一样,这些图片都是根据纬度和经度坐标数据绘制的,所以地图显示的位置都是准确的。

    受受感染系统(基于IP的摄像头)分布最集中的地区,包括美国、欧洲和东南亚地区,如下图9中绿色部分所示:

图9:Persirai:受感染的网络摄像机(2017年6月)

    Persirai僵尸网络的 C&C服务器遍布全球各地,分布比较密集的地区包括英国、意大利、土耳其、澳大利亚东南部和巴西,如下图10中黄色部分所示:

图10:Persirai:C&C服务器(2017年6月)

    在北美洲地区,Persirai的受感染的网络摄像机的分布,如下图11中绿色部分所示;C&C服务器(黄色显示)的分布情况:美国(9个)、墨西哥(4个)、瓜地马拉(2个)、萨尔瓦多(2个)、洪都拉斯(2个)。

图11:Persirai:网络摄像头和C&C服务器(北美洲,2017年6月)

    在欧洲地区,Persirai的受感染的网络摄像机主要分布在英国、法国、比利时、荷兰、瑞士、意大利、丹麦和波兰,如下图12中绿色部分所示;C&C服务器(黄色显示)在英国、意大利和土耳其的分布最为普遍。

图12:Persirai:网络摄像头和C&C服务器(欧洲,2017年6月)

    Persirai的受感染的网络摄像机遍布整个亚洲地区,比较集中的地区包括:泰国、中国、韩国、日本、台湾和马来西亚,如下图13中绿色部分所示;C&C服务器(黄色显示)大部分都在中国、印度和泰国。

图13:Persirai:网络摄像头和C&C服务器(亚洲,2017年6月)

Telnet暴力破解攻击

    Telnet被数十亿的物联网设备所使用,所以攻击者偏好对它进行扫描不足为怪。从2017年1月1日到6月30日,攻击者一共发起了3060万次针对物联网设备的暴力攻击(参见下图14),比前期(2016年7月1日至12月31日)增加了280%,后者在2016年九月和十月由于Marai的活动已经激增很多了。

图14:物联网攻击的增长率(2016~2017年)

    认真观察Thingbots的攻击向量,可以看到攻击者在侦察阶段典型的活动模式:扫描Internet的大部分(也可能是整个Internet),寻找易受攻击的设备。经历了广泛的扫描之后,会实施更小、更精确的扫描,并最终暴力破解易受攻击设备的凭据并安装恶意软件,完成僵尸网络的构建。

攻击者活动的预期模式与我们观测telnet攻击量时所看到的攻击活动相匹配。(参见下图15)

图15:IoT的攻击模式(按月统计)

    值得注意的是,Mirai目前处于一个相对低水平的活动(与我们之前所观测到的相比),这种情景应该被视为攻击的前兆,它也可能意味着有一个或多个非常大型的僵尸网络武器库被建造,所以还没有看到Mirai有大规模的攻击,可能是有一个更大的thingbot(或潜在的多thingbots),已经处于“加载完毕并预备开火”的状态。

    作为研究人员,我们一直在问自己,为什么最近Telnet活动似乎有所中断?这可能是攻击者已经完成侦察阶段,目前处于构建阶段;第二个可能是由于破坏性的、拒绝服务式的僵尸网络(如Hajime 或BrickerBot,会造成设备永久性的损坏),对大量受感染设备的精确打击,使它们失去了活性;第三个可能是,攻击者被影子经纪人的释放的EternalBlue和零日漏洞分心了。

攻击IP地址分析(Top50)

    对攻击的IP地址,按行业进行排名,Top50的占比情况如下图16所示:

图16:攻击IP地址Top50(按行业)

    由上图可知,物联网僵尸网络攻击的IP地址大部分来自与ISP /电信提供商和主机托管服务提供商。其中,主机托管服务提供商占比44%,不过它们占据了大部分的攻击向量(83%); ISP /电信提供商占比56%,据我们推测,攻击流量可能直接来自于僵尸宿主,而非ISP/电信提供商的流量。

最常见的用户–密码组合

    物联网设备的账户管理和控制缺乏强力的限制,简单的用户名和密码(甚至是默认的)为攻击者提供了很大的便利。这里列举了最常用的50种用户-密码组合(见图24)。希望物联网开发人员和制造商能够改变这些基本的、容易猜到的凭证(所有的攻击者都可以轻易获得),并且永远不再使用它们。

图17:最易受攻击的管理员账户(用户名-密码组合,Top50)

结论和建议

    Gartner估计2017年中使用的物联网设备中,63%都是消费产品,不可能奢求“受众”(消费者用户)对设备固有的漏洞采取保护措施。即使用户接受了适当的指导,但大多数设备的固件并不能改变管理员用户的设置,所以即使是一个尽责的物联网设备的主人,也不能掌控和保护他们的设备,即使他们知道该怎么做。

    然而,这种物联网问题应当得到重视,尽管由于修复的代价昂贵,短期内安全需求不能得到解决。但是,物联网厂商和开发者,以及全球立法需要协调努力,从全球层面来思考和正视物联网安全问题。

    所以,现在是代表你的公司采取行动的时候了。我们提供了以下宝贵的、真诚的建议,希望相关部门和厂商、开发者予以重视:

       • 制定并落实DDoS防护策略。无论它是自建的、基于云的或混合解决方案。

       • 确保关键服务的冗余。有时候你并不总是直接的攻击目标,但是如果服务提供商受到攻击,生态链下游也会受到影响。

       • 购买时需要谨慎!不要购买、部署或出售易受攻击的物联网设备,它们可能成为网络武器,反过来攻击企业。在购买之前做好充分的调研工作。如果您正在与您的物联网制造商进行尽职调查,请使用下文中提到的安全清单,询问他们的安全开发实践。

    此外,在个人和企业层面上,应当积极讨论物联网设备对员工的威胁,普及物联网安全教育和培训。消费者对物联网威胁的意识越强,就越不可能购买已知的易受攻击的设备,也就更不容易成为攻击的受害者。

    如果还没有改变默认的账户名和密码,不用犹豫,请立刻采取解决措施,加固账户安全。物联网黑客最拿手的好戏,就是收集设备的帐户凭据。

    如果您正在开发物联网产品,您应该立即开始执行以下操作:

       • 将安全需求、设计、开发和测试添加到软件开发生命周期中。千万不要认为你的设备不会成为黑客攻击目标。可以操作威胁建模框架和OWASP相关标准。

       • 不允许为设备使用默认的管理员帐户凭。

       • 增加抗暴力破解措施!限制连接速率,设置帐户多次登录失败后的锁定策略等。

       • 如果必须使用telnet进行远程管理,请将telnet访问限制在特定网络内;绝不允许Internet上任何位置的管理员账户登录连接!

       • 如果可能的话,在设备上实现防病毒解决方案,确保设备不会受到普通恶意软件的感染。这对于那些执行关键功能并且具有高带宽容量的设备来说也是必须的,因为设备通常是高价值的目标,因此更有可能成为攻击目标。

    允许固件更新。当一个漏洞泄露出来时,如果不想措手不及,除了召回产品之外,应当还有其他方法。

来源:http://www.mottoin.com/104793.html

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读