前言
网络犯罪分子对物联网设备的兴趣一直在增长:在 2018 上半年,我们观察到的 IoT 恶意软件样本的数量是 2017 年全年的三倍。而 2017 年的数字则是 2016 年的 10 倍。这一趋势对于未来而言不容乐观。
因此在这里我们研究了以下三个问题:
2016 年 – 2018 年,卡巴斯基实验室收集到的 IoT 恶意软件样本的数量
最流行的攻击和感染向量仍然是针对 Telnet 密码的暴力破解攻击。在 2018 年第二季度,我们的蜜罐记录的此类攻击的数量是其它类型攻击数量总和的三倍还要多。
在将恶意软件下载到物联网设备上时,网络犯罪分子的首选项是Mirai家族( 20.9% )。
成功破解 Telnet 密码后下载到 IoT 设备上的恶意软件 Top10
以下是我们记录到的 Telnet 攻击最多的国家的 Top 10 :
2018 年第二季度,受感染设备数量的地理分布
如图所示, 2018 年第二季度发起 Telnet 攻击的 IP 地址(唯一)数量最多的国家是巴西( 23% ),第二名是中国( 17% )。俄罗斯排名第四( 7% )。在整个 2018 年 1 月至 7 月期间,我们的 Telnet 蜜罐共记录到来自 86560 个 IP 地址(唯一)的超过 1200 万次攻击,并且从 27693 个 IP 地址(唯一)下载了恶意软件。
由于一些智能设备的所有者修改了默认的 Telnet 密码并使用复杂的密码,而许多小工具根本不支持这种协议,因此网络犯罪分子一直在寻找新的感染向量。这一情况还受到恶意软件开发者之间的竞争所推动(他们之间的竞争导致了暴力破解攻击效率越来越低):一旦成功破解了 Telnet 密码,攻击者就会更改设备的密码并阻止对 Telnet 的访问。
僵尸网络 Reaper 就是一个使用“替代技术”的很好的例子,它在 2017 年底感染了约 200 万个 IoT 设备。该僵尸网络并没有采用 Telnet 暴力破解攻击,而是利用已知的软件漏洞进行传播。与暴力破解相比,这种传播方法具有以下优点:
尽管这种方法的实施难度更高,许多恶意软件作者已经开始青睐这种方法。很快就会出现利用智能设备软件中的已知漏洞的新木马。
一、新的攻击,旧的恶意软件
为了观察恶意软件针对了哪些漏洞,我们分析了企图连接到我们蜜罐的不同端口的数据。下表是 2018 年第二季度的数据:
绝大多数攻击仍然是针对Telnet和SSH密码的暴力破解攻击。第三大最常见的攻击是针对SMB服务(文件远程访问服务)的攻击。我们还没有观察到针对该服务的IoT恶意软件。 无论如何,某些版本的SMB中包含严重的已知漏洞,如永恒之蓝(Windows)和永恒之红(Linux)。举个例子,臭名昭著的勒索软件 WannaCry和门罗币矿工 EternalMiner就利用了这些漏洞。
下表是 2018 年第二季度攻击我们蜜罐的受感染 IoT 设备的类型分布:
我们可以看到,运行 RouterOS 的 MikroTik 设备在列表中一骑绝尘,其原因应该是 Chimay-Red 漏洞。有趣的是,列表中还包括 33 个美诺洗碗机(占攻击总数的 0.68% )。它们很可能是通过其固件中的 PST10web 服务器漏洞 CVE-2017-7240被感染的(该漏洞于 2017 年 3 月公开)。
1. 端口7547
针对端口 7547 上的远程设备管理服务( TR-069 协议)的攻击十分常见。根据 Shodan 的查询结果,全世界有超过 4000 万台设备的这个端口是打开的。这还是在该漏洞最近导致约 100 万德国电信路由器被感染,更不用说用于分发恶意软件家族 Mirai 和 Hajime 之后。
另一类攻击则是利用了运行 RouterOS 版本 6.38.4 之下的 MikroTik 路由器中的漏洞 Chimay-Red。在 2018 年 3 月,该攻击被积极用于分发 Hajime 。
2. 网络摄像机
网络犯罪分子也没有忽视网络摄像机。 2017 年 3 月研究人员在 GoAhead 设备的软件中发现了几个严重的漏洞。在相关信息被披露的一个月后,利用这些漏洞的 Gafgyt 和 Persirai 木马新变体出现了。仅在一周内,这些恶意程序就积极感染了 57000 个设备。
2018 年 6 月 1 日, XionMaiuc-httpd web 服务器中的漏洞( CVE-2018-10088 )的相关PoC被公开。该产品被用于一些中国制造的智能设备之中(如 KKMoonDVRs )。一天之内,针对这些设备的有记录的扫描尝试增至三倍。这一激增的罪魁祸首就是 Satori 木马,其以之前针对GPON路由器的攻击而闻名。
二、终端用户面临的新恶意软件和威胁
1. ddos攻击
与以前一样,物联网恶意软件的主要目的是进行 DDoS 攻击。受感染的智能设备成为僵尸网络的一部分,根据相关命令攻击一个指定的地址,耗尽该主机用于处理真实用户请求的资源和能力。木马家族 Mirai 及其变体(尤其是 Hajime )仍在部署此类攻击。
这可能是对终端用户危害最小的情况了。最坏情况(很少发生)也就是受感染设备的拥有者被 ISP 拉黑。而且通常情况下简单地重启设备就可以“治愈”该设备。
2. 加密货币挖掘
另一类有效荷载与加密货币有关。例如, IoT 恶意软件可以在受感染设备上安装恶意矿工。但是鉴于智能设备的算力很低,这种攻击的可行性还是一个疑问,即使它们的数量可能很大。
Satori 木马的创建者发明了一种更为狡猾和可行的获取加密货币的方法。他将受感染的 IoT 设备作为访问高性能计算机的一种钥匙:第一步,攻击者首先试图利用已知漏洞感染尽可能多的路由器;第二步,利用受感染的路由器和以太坊挖矿软件 Claymore 的远程管理工具中的漏洞 CVE-2018-1000049,将钱包地址替换成自己的。
3. 数据窃取
在 2018 年 5 月检测到的 VPNFilter木马则追求其它的目标。它首先拦截受感染设备的流量,然后从中提取重要的数据(用户名、密码等)并发送到网络犯罪分子的服务器。下面是 VPNFilter 的主要功能:
该木马的传播方法仍然未知:其代码中没有包含自我传播机制。无论如何,我们倾向于认为它通过利用设备软件中的已知漏洞来感染设备。
第一份关于VPNFilter的报告称其感染了约 50 万个设备。从那时起,更多的设备被感染了,并且易受攻击的设备厂商列表大大加长了。而这些厂商的设备不仅在公司网络中使用,而且常被用作家用路由器,这使得情况变得更糟。
三、结论
智能设备正在崛起, 有人预测称 2020 年智能设备的数量将超过世界总人口数量的好几倍。然而厂商们还是没有重视设备的安全性:在设备初始化设置过程中,他们没有提醒用户去修改默认密码;他们也没有向用户发布关于新固件版本的通知;甚至更新过程本身对普通用户而言都显得十分复杂。这使得物联网设备成为网络犯罪分子的主要攻击目标,甚至比个人计算机更容易受到感染。物联网设备通常在家庭基础设施中扮演了一个重要的角色:有些用于管理网络流量,有些用于拍摄监控视频,还有一些用于控制家用设备(如空调等)。
针对智能设备的恶意软件不仅在数量上增长,而且在质量上也在增长。越来越多的 exploits (漏洞利用程序)被网络犯罪分子开发出来。而除了传统的 DDoS 攻击之外,被感染的设备还被用于窃取个人数据和挖掘加密货币。
下面是一些可以帮助减少智能设备感染风险的小技巧:
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 卡巴斯基:2018上半年物联网威胁新趋势