1、2018 物联网安全年报A目录执行摘要 21.2018 年重大物联网安全事件回顾 51.1 暗网出现利用物联网设备的 DDoSaaS 61.1.1 事件回顾 61.1.2 原理简述 71.1.3 小结 81.2 Hiden Seek 僵尸网络感染了 9 万台物联网设备 91.2.1 事件回顾 91.2.2 原理简述 91.2.3 小结 101.3 IoTroop 针对金融机构的多起 DDoS 攻击活动 101.3.1 事件回顾 101.3.2 小结 101.4 VPNFilter 感染约 50 万台物联网设备,或与国家行为有关 111.4.1 事件回顾 111.4.2 原理简介 111.4.3
2、 小结 121.5 台积电生产线被勒索,停产损失超 10 亿 121.5.1 事件回顾 121.5.2 小结 131.6 UPnProxy 脆弱性使 4.5 万个内网敞开,威胁众多企业和家庭 131.6.1 事件回顾 131.6.2 原理简介 131.6.3 小结 141.7 20 万台路由器被黑导致内网设备恶意挖矿 141.7.1 事件回顾 141.7.2 原理简介 151.7.3 小结 151.8 总结 162018 物联网安全年报B2.物联网资产暴露与变化情况分析 172.1 暴露物联网资产概况 182.2 暴露物联网资产的变化情况分析 202.2.1 摄像头 212.2.2 路由器 2
3、32.2.3 VoIP 电话 232.3 物联网资产地址变化的原因分析 242.3.1 变化资产使用拨号方式入网 252.3.2 变化资产的 ASN 分布情况 322.4 国内物联网资产真实暴露情况 342.5 小结 353.物联网资产风险和威胁统计 363.1 引言 373.2 异常物联网设备分析 373.2.1 设备类型分析 383.2.2 攻击类型分析 393.2.3 开放端口分析 423.2.4 恶意挖矿行为分析 443.3 异常物联网设备的区域分布分析 463.3.1 全球物联网设备的国家分布 463.3.2 全球异常物联网设备国家分布 473.3.3 国内物联网设备省份分布513.
4、3.4 国内异常物联网设备省份分布 523.4 物联网恶意家族分析 573.4.1 物联网恶意家族的样本维度分析 583.4.2 物联网恶意家族的攻击维度分析 603.4.3 典型恶意家族的详细分析633.5 小结 672018 物联网安全年报C4.面向物联网设备的 UPnP 协议栈威胁分析 684.1 引言 694.1.1 UPnP 技术简介 694.1.2 UPnP 的工作流程 714.2 UPnP 协议栈的脆弱性与风险分析 734.2.1 UPnP 协议的脆弱性与风险分析 734.2.2 UPnP 实现中的常见脆弱性与风险统计 784.2.3 UPnP 服务的脆弱性与风险分析 804.3
5、 UPnP 暴露情况和风险统计 824.4 UPnP 协议栈的威胁分析 884.4.1 利用 UPnP 的反射攻击分析 884.4.2 UPnP 端口映射服务威胁分析 904.4.3 其他针对 UPnP 服务的恶意行为分析 1044.4.4 UPnP 服务扫描源分析 1074.5 小结 109附录 1:文中部分名词释义 110附录 2:物联网设备常用端口与协议对照表 112附录 3:常见 UPnP SDK 关联漏洞 113参考文献 1142018 物联网安全年报2执行摘要执行摘要随着物联网的不断发展,物联网安全也被越来越多的人所关注。我们于 2016 年发布物联网安全白皮书,进行物联网安全的科
6、普介绍;并于 2017 年发布2017 物联网安全年报,关注物联网资产在互联网上的暴露情况、设备脆弱性以及威胁风险分析。今年,我们持续深入研究物联网资产和威胁:在资产方面,我们关注如何更精准地刻画暴露在互联网上的物联网资产分布情况;在威胁分析方面,我们将重点类别的物联网资产关联从互联网上发现的异常事件,跟踪相关的物联网威胁,包括各类恶意攻击和恶意家族。首先,我们回顾了 2018 年 7 个影响较大的物联网安全事件。在 2018 年,攻击者利用漏洞编写恶意软件感染大量物联网设备、在暗网买卖攻击服务、肆意发动破坏和勒索攻击。这些行为显然针对物联网设备或由物联网设备发动的攻击,对国家关键信息基础设施
7、、大型企业和个人的安全构成了严重的威胁,物联网总体安全形势依然严峻,处置和缓解物联网威胁任重道远。我们在去年的报告中提到,互联网上暴露的各类物联网设备累计高达 6000 万台,这是对端口进行一年的扫描数据的统计结果。由于一年内多个扫描轮次中,物联网设备的网络地址可能会发生变化,通过这种统计口径得出的数据不能反映物联网资产某段时间的真实暴露情况。为了解物联网资产准确的变化情况,我们对比了多个扫描轮次的数据,有如下发现:通过对国内路由器、摄像头和 VoIP 电话的资产变化数量对比分析,发现有至少 40%的物联网资产的网络地址处于频繁变化的状态中,而同时资产的网络地址所映射的网段只有 10%发生变化
8、。我们进而对部分变化网段进行抽样分析,发现超过 90%的抽样网段资产的网络地址采用拨号方式入网。那么无论是描绘暴露物联网资产,还是追溯发动恶意攻击的设备,都不能忽视考虑物联网资产网络地址的变化因素。除了对于物联网资产暴露情况的深入研究外,我们对将近半年的全网扫描的物联网资产数据和绿盟威胁情报中心(NTI)的威胁情报数据、可管理服务的安全设备的日志告警信息,以及合作第三方的数据进行关联,以统计并分析暴露在互联网上的物联网资产的风险和遭受威胁趋势。分析近半年的物联网资产的行为可知,在所有设备和出现过异常行为的设备中,路由器和摄像头比例均为最高,异常设备的行为主要以 DDoS 攻击、僵尸网络通信和扫
9、描探测为主,存在这些行为的异常物联网设备占所有异常物联网设备的 79.36%;在所有异常物联网设备中,开放 554 端口的摄像头数量2018 物联网安全年报3执行摘要最多,此类物联网设备的安全检查需要得到重点关注。物联网攻击体现出很强的家族属性,从蜜罐捕获和僵尸网络跟踪的角度看,Mirai 和 Gafgyt 两大家族的物联网恶意样本数量最多,而从检测到的攻击行为角度看,物联网僵尸主机家族的前两名是 Gafgyt 和 XorDDos。从全球视角观察,不同国家的恶意物联网设备发动的攻击手法具有差异性,以路由器为例,美国的异常路由器的主要以漏洞利用的手段被利用,但巴西的主要以恶意挖矿为主等;聚焦国内
10、,我们发现无论是物联网设备的总数,还是异常物联网设备的数量,都与区域的经济发展水平有较强的关联,特别是第三产业。从厂商角度观察,2018 年 4月份,MikroTik 路由器的漏洞披露后被利用进行恶意挖矿,我们在 10 月发现仍有大量 MikroTik 路由器在挖矿,导致 MikroTik 是我们在 2018 年观察到设备被恶意利用最多的厂商。物联网安全一从设计之初要考虑安全问题,二在体系建设时要在端管云都要做好防护,三在安全治理时要考虑大量存量的弱安全设备,足见其任重道远,绝非一朝一夕可成。在研究物联网暴露资产和跟踪威胁时,我们发现大量 UPnP 服务暴露在互联网上,沦为攻击者的利用对象,成
11、为 DDoS 攻击的重要来源。我们有如下发现:全球有约 280 万台物联网设备开放了 UPnP SSDP 服务(1900 端口),存在被利用进行 DDoS 攻击的风险,其中有 38.6%的设备同时还开放了 UPnP SOAP 服务,在这些开放 SOAP 服务的设备中,69.8%的设备存在漏洞。由于 SOAP 服务缺乏鉴权机制,约 41 万台端口映射服务可访问的物联网设备存在被入侵的可能。在这些设备中,有 8.9%的设备被发现存在恶意的端口映射条目,例如会将内网的 445 端口和 139 端口暴露在互联网上,而开启这两个端口服务可能存在遭受永恒之蓝、永恒之红的攻击的风险,平均每个受感染的设备存在
12、 282 条感染记录。我们发现两类添加恶意端口映射的家族IntraScan 和 NodeDoS:IntraScan 试图将所有的内网端口都暴露在互联网上,全球有约 9 千台设备受到感染;NodeDoS 存在两种恶意行为,一是映射到 8.8.8.8 的 53 端口,推测其将设备作为 DNS 反射攻击的肉鸡集群,二是映射到某色情广告平台,进行分布式广告点击从中获利,全球目前有约 600 台设备受到感染。我们通过全球部署的蜜罐研究 UPnP 攻击态势,通过对近两个月的数据进行分析,我们观察到1056次SSDP反射攻击事件,此外还捕获到如UPnP的探测扫描、针对CVE的远程代码注入等恶意行为。纵观 2
13、018 年,物联网安全事件频发,原因有三:第一,物联网设备本身风险高、易被利用,同时大量暴露在互联网上;第二,DDoS 服务、勒索和恶意挖矿易变现且其低风险受到攻击者亲睐,攻击者可利用开源的武器库快速组装恶意软件,进而扫描、渗透并控制物联网设备;第三,物联网的供应链长、2018 物联网安全年报4执行摘要碎片化严重,物联网厂商不具备所需的安全能力,安全厂商无法参与整个物联网产品的设计、实现、生产和升级环节。此外物联网安全相关的标准、法律法规尚未完善,监管机构缺乏有效的落地方针。因而,我们建议安全厂商、物联网厂商、物联网服务商、网络运营商及国家相关部门需要通力协作,从横贯云管端安全的顶层设计,到具
14、体产品的安全设计实现测评,从威胁预警和安全治理结合的监管体系,到产业合作创建多赢的商业模式,携手共建物联网安全生态环境。最后,我们有如下预测:在未来几年中,随着国家大力推动 IPv6 战略,暴露在互联上的物联网资产数量可能会剧增,随之而来的安全问题也会增多。并且物联网安全事件不会减少,甚至会因被黑产利用而增多。由于互联网上暴露的物联网设备数量庞大,且相关漏洞层出不穷,物联网恶意家族 1如 Gafgyt、Mirai 和 XorDDoS 等较为活跃,且僵尸网络呈现出服务化、集中化,基本形成托管服务(DDoSaaS、Ransomware-aaS、Cryptojacking-aaS),攻击者只需在暗网
15、购买服务即可完成攻击,无需花费构建的时间等,致使威胁进一步增大。相信由此类服务发动的攻击会频繁见诸报端。由于很多网关类设备都开启了 UPnP 服务,而这些设备大多是遗留设备,短期内很难通过固件升级或替换来解决相关安全问题,随着攻击者对于 UPnP 的认知逐渐加深,UPnP 带来的威胁将更加严重,特别是针对家庭和企业的内部网络的攻击。1物联网恶意家族是指以物联网设备为肉鸡目标的僵尸网络家族。2018 物联网安全年报52018 年重大物联网安全事件回顾1.2018 年重大物联网安全事件回顾1 2018年重大物联网安全事件回顾2018 物联网安全年报62018 年重大物联网安全事件回顾随着物联网设备
16、数量的日趋增长,物联网设备的漏洞也逐渐被暴露出来。一些活动在暗网中的不法分子,会寻找、利用或控制存在这些漏洞的物联网设备,进而发动恶意攻击。比如乌克兰电网中的SCADA 系统被入侵后,攻击者对乌克兰电网发动了断网攻击,这种破坏行为无疑是影响人民生活、社会稳定甚至是国家安全的不安定因素。目前我们监测到的扫描、控制、攻击的行为,多为不法分子通过利用设备漏洞,进而在设备上运行恶意软件实现的。一些恶意软件,如 Mirai、BrickerBot 等,已被公开报道,为世人所知。本章列举了 2018 年影响较大的物联网安全事件。通过回顾相关的安全事件,读者可了解到当前的物联网安全形势 1。观点1:回顾201
17、8年的重大物联网安全事件,攻击者恶意行为涉及感染物联网设备、买卖攻击服务、肆意发动破坏攻击,这些行为表明针对物联网或由物联网发动的攻击对各国的关键信息基础设施安全构成了严重的威胁,物联网安全形势依然严峻。1.1 暗网出现利用物联网设备的 DDoSaaS1.1.1 事件回顾2018 年 2 月,Radware 的信息安全专家 Pascal Geenens 分析了一个 DDoS 攻击组织,该组织利用一个名为 JenX 的恶意带软件感染的物联网设备发动 DDoS 攻击,目前他们已在暗网中出租 DDoS 服务(DDoSaaS,DDoS as a Service)1,服务价格如图 1.1 所示。尽管 J
18、enX 感染的物联网设备数量未知,但是从这个组织可以发起 290-300Gbps 的 DDoS 攻击来看,其控制的设备数量至少有 2.9 万台(以每个设备对外最大上传带宽 10Mps 计算)。具体而言,JenX 可分别利用 CVE-201717215 和CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek SDK 的设备,一般情况下,这类设备的带宽约 100Mbps,上传带宽约 10Mbps。和完全分布式僵尸网络 Mirai 不同的是,该僵尸网络由服务器完成漏洞利用和僵尸主机管理的任务。在 7 月,黑客利用 CVE-201717215 仅仅在一天内就构建了一个1800
19、0 台僵尸网络主机构成的僵尸网络2。可见 JenX 的影响面之大。1关于物联网中的感染主机数量或者控制的主机数量,这个数字大多数是估计的。研究员主要是参考期活跃程度、分布程度、利用的漏洞等不同角度信息,再结合各个安全厂商的蜜罐中捕获的数据来计算的。该数量只能作为一个参考,并不能作为实际感染的主机数量来认定。如果数字是确定的,可能的情况是不法分子入侵了设备,并修改了设备指纹,在扫描的过程中可以将感染的设备标记出来,使安全公司可以通过扫描的方式可以统计到设备数量。如果是后者,则数字是可信的。2018 物联网安全年报72018 年重大物联网安全事件回顾图 1.1 暗网买卖 DDoS 服务价格1.1.
20、2 原理简述图 1.2 所示为 CVE-201717215 的利用思路13,即攻击者可以向目标主机的 37215 端口发送 HTTP POST 请求,并使用一系列不同的命令序列在目标主机中下载并运行恶意软件。图 1.2 CVE-201717215 的命令注入点 CVE-2014-8361 漏洞的利用思路相似,如图 1.3 所示,攻击者在“NewInternalClient”的 xml 标签中插入下载并运行恶意软件的命令。恶意软件运行之后,受感染的设备会接收来自 C&C 服务器的其他命令,图 1.4 所示为受感染设备与 C&C 的 TCP 会话的心跳数据。2018 物联网安全年报82018 年重
21、大物联网安全事件回顾图 1.3 CVE-2014-8361 的命令注入点图 1.4 受感染设备与 C&C 的 TCP 会话的心跳数据1.1.3 小结恶意软件 JenX 构建了中心化的物联网僵尸网络,其发动的 DDoS 攻击达到 200Gbps 以上,足以证明其控制的设备数量相当多。在暗网被作 DDoS 服务出租用,足见黑产武器化之先进、商业化之成熟。物联网厂商需要及时更新补丁,并引导客户进行升级,这样也有助于降低暴露在互联网上的物联网设备被当做僵尸主机利用的风险。2018 物联网安全年报92018 年重大物联网安全事件回顾1.2 Hiden Seek 僵尸网络感染了 9 万台物联网设备1.2.
22、1 事件回顾2018年1月,Bitdefender发现了一个新的僵尸网络并将其命名为Hiden Seek3,到了2018年4月份,已经有 9 万台设备被感染并成为 P2P 的僵尸主机。Hiden Seek 最后一次更新在 2018 年 9 月,其武器库在添加了安卓设备的 ADB 服务的端口探测和利用4 后,感染的设备数量大大增加。1.2.2 原理简述1.2.2.1 利用已知漏洞Hiden Seek 利用多个已知的远程命令执行漏洞(参见表 1.1)感染运行 Linux 操作系统的设备,如路由器、摄像头和服务器。表 1.1 Hiden Seek 利用的远程命令执行的漏洞漏洞POC 发布时间TP-L
23、ink 路由器 RCE 漏洞2013 年 3 月 12 日思科 Linksys 路由器 RCE 漏洞2014 年 2 月 16 日JAWS/1.0 RCE 漏洞2016 年 2 月 10 日AVTECH IP 摄像头/NVR/DVR RCE 漏洞2016 年 10 月 11 日贝尔金无线摄像头 RCE 漏洞2017 年 7 月 17 日OrientDB RCE 漏洞2017 年 10 月 9 日Netgear DGN1000 RCE 漏洞2017 年 10 月 25 日Apache CouchDB RCE 漏洞2018 年 6 月 20 日HomeMatic Zentrale CCU2 RCE
24、 漏洞2018 年 7 月 18 日1.2.2.2 利用 ADB 服务2018 年 9 月份,Bitdefender 研究员 Liviu Arsene 在新的样本中找到了利用 ADB 服务的代码。也就是说,Hiden Seek 也会感染暴露在互联网上的开启 ADB 网络调试服务的安卓设备,包括智能电视、机顶盒、人脸识别门禁,车载娱乐系统等5。Liviu Arsene 表示,虽然从现有的证据还不能够判定该僵尸网络运营商的下一阶段目标,但他们的确一直在为其增加新的能力,这很可能是在为控制尽可能多的设备做准备。2018 物联网安全年报102018 年重大物联网安全事件回顾1.2.3 小结目前没有证据
25、表明攻击者是否已经利用 Hiden Seek 僵尸网络发动了攻击,但是从其控制的主机数量来看,能发动的攻击最大可以达到900Gbps,这已经接近了2016年Mirai僵尸网络的DDoS攻击高峰。如果用户购买并部署了 DDoS 缓解相关的服务或者设备,需要及时做好相应的检测与防护。1.3 IoTroop 针对金融机构的多起 DDoS 攻击活动1.3.1 事件回顾在 2017 年 10 月 29 日,Check Point 在其发布的技术报告中表示,他们的安全团队发现了一个代号为 IoTroop 的新型僵尸网络6。网络安全公司 RecordedFuture 的威胁研究小组 Insikt Group
26、 基于僵尸网络基础设施的使用和攻击的时间的分析,推断了该僵尸网络在短短一天内就连续发动了三次针对不同金融机构的 DDoS 攻击。第一起攻击事件发生在 2018 年 1 月 28 日 18:30 左右,至少 1.3 万台拥有唯一的 IP 地址物联网设备实施了 DNS 放大攻击,攻击峰值流量达到了 30 Gbps。第二起攻击事件几乎是与第一起攻击事件同时发生的。Insikt Group 认为这两起攻击是由相同的 Mirai 变种僵尸网络发起的,因为在第二次攻击事件中,与受害者企业的服务进行了通信的 26 个 IP 地址中,有 19 个参与了对第一家金融机构的攻击。2018 年 1 月 28 日 2
27、1:00 左右,仅在前两起事件发生后的短短几个小时内,又发生了第三起针对 TCP 443 端口的攻击事件,尽管技术上的细节没有被公开,但三起事件的时间之短,是可能存在相关性的。根据之前对恶意软件的分析,IoTroop 借用了一部分 Mirai 的代码。与 Mirai 类似,该恶意软件针对的是网络设备,例如由普联(TP-Link)、Avtech、MikroTik、Linksys、Synology 和 GoAhead 等公司制造的路由器和摄像头。据Insikt Group称,在这个僵尸网络中,有80%的设备是受感染的MikroTik路由器,其余 20%由其他多种物联网设备组成,包括 Ubiquit
28、y、Cisco 和 ZyXEL 路由器等设备。1.3.2 小结继 2016 年 Mirai 事件之后,多种恶意软件家族对物联网设备发起攻击,使大量脆弱的物联网设备沦为僵尸网络的一部分,成为 DDoS 攻击的直接攻击者。Mirai 家族,例如本事件中的 IoTroop,以及其他如 SORA、OMG、OWARI、Omni 等各类变种恶意软件也被检测到有不同的活跃情况。其他家族如2018 物联网安全年报112018 年重大物联网安全事件回顾Gafgyt 在 2018 年也有一定的活跃程度,有关这这些家族的详细分析,见章节 3.5.2。随着物联网设备的逐步广泛地应用,对物联网设备恶意软件检测能力和修复
29、能力也需要安全厂商、物联网设备生产厂商和物联网用户一起建立和完善。1.4 VPNFilter 感染约 50 万台物联网设备,或与国家行为有关1.4.1 事件回顾2018 年 5 月 23 日,思科的 Talos 团队在其官网发布了一个报告19,公开了一个名为“VPNFilter”的恶意软件的行为。经过与合作伙伴、执法部门的合作,该团队最终估算出有至少 50 万台设备受到感染,分布范围超过了 54 个国家。2018 年 6 月 8 日,思科更新了该恶意软件影响的设备的厂商,包括:华硕(Asus)、友讯(D-Link)、华为(Huawei)、Linksys、MikroTik、网件(Netgear)
30、、威连通(QNAP)、普联(TP-Link)、Ubiquiti、Upvel 和中兴(ZTE)20。VPNFilter 控制的 50 万台设备均为网络设备,如路由器、防火墙等,试想这些设备的网络转发功能遭到破坏,受到影响的设备很可能从 50 万台设增加到数百万台。与其他事件不同的是,思科推测该恶意软件可能与国家行为有关,原因是:VPNFilter 利用了BlackEnergy 的一部分代码(BlackEnergy 的攻击是在 2015 年发生的,也就是著名的乌克兰电厂事件,22.5 万的乌克兰人民在黑暗中度过了 6 小时42)。2018 年 7 月 13 日,乌克兰声称拦截了一起针对某化工厂的攻
31、击行为,攻击手法也是借助了 VPNFilter 恶意软件,意欲破坏化工厂的正常运转,乌克兰反间谍部门将该攻击归于俄罗斯的入侵18。1.4.2 原理简介VPNFilter 的原理比较复杂,具体可参见 Talos 在其博客上发布的相关细节19,这里简单描述该恶意软件的行为。VPNFilter 分三个阶段。阶段 1 建立加密连接(非标准的 RC4),并从 下载图片,从图片的地理位置信息中解析出 C&C 的 IP;阶段 2 包含覆盖硬盘(使设备变砖)并与C&C 服务器通信配置代理;阶段 3 嗅探流经设备上的数据包,并尝试找到认证相关的信息。2018 物联网安全年报122018 年重大物联网安全事件回顾
32、图 1.5 VPNFilter 的运行流程1.4.3 小结正因是疑似国家行为,VPNFilter 恶意软件的功能和实现比较复杂,大大增加了研究员分析的难度。安全厂商及时捕获并分析到该软件的恶意行为,有助于及时针对该恶意软件做好检测与预防。如果这样的恶意软件的攻击目标是国内关键信息基础设施,那我们是否有能力及时检测并分析出恶意软件行为,值得深思。1.5 台积电生产线被勒索,停产损失超 10 亿1.5.1 事件回顾2018 年 8 月 3 日 2018 年 8 月 6 日,中国台湾的台积电有三家工厂因遭遇病毒而停工,造成亏损超过十亿元人民币。据台积电总裁魏哲家所说,该病毒是因为工人没有按照安全规范
33、,在上线前对新产品进行隔离并做安全检查就直接上线,导致恶意软件感染了生产线和总部。魏哲家称目前尽量减少因延迟交货对客户的影响是努力方向,同时也表明“不认为人为定制病毒针对台积电”22。2018 物联网安全年报132018 年重大物联网安全事件回顾台积电这次事件的时间比较巧合,其一,该事件刚好是苹果、华为的发布会前期,应是生产紧张的阶段;其二,该事件刚好发生在原总裁张忠谋交接新班子的两个月后23。众人对此说法不一。不过该事件得到妥善处理,后续没有因这次病毒感染事件产生其他不良影响。1.5.2 小结内部有大量的工控设备的企业,其设备和系统长期不更新,导致安全风险非常大。随着勒索软件、国家层面的恶意
34、攻击频发,石油化工、冶金、电力、轨道交通、烟草等国家重点行业面临前所未有的网络安全威胁24。不仅仅是设备老旧的问题会导致企业面临安全风险,其内部人员管理也需要跟进物联网发展潮流,2018 年 11 月底,三星的 11 名员工买卖 OLED 曲面屏技术,牟利 155 亿韩元27。面临这种情况,企业不仅要对各类设备设置安全策略,更应该在企业管理方面增加安全方面的投入,确保公司的网络安全同时,也要确保信息不会因为人员离职而被泄露。1.6 UPnProxy 脆弱性使 4.5 万个内网敞开,威胁众多企业和家庭1.6.1 事件回顾2018 年 11 月 28 日,Akamai 在其博客网站9 的一篇博文中
35、提到:在 350 万台设备中,有 27.7 万台运行着存在漏洞的 UPnP 服务,已确认超过 4.5 万台设备在 UPnP NAT 注入活动中受到感染。这些注入攻击将路由器背后的内网设备暴露到互联网上,将有助于黑客渗透进更多的内网设备,进一步攻击家庭,威胁智能家居的运行安全和个人隐私,甚至在 BYOD 场景中继续渗透企业。其实,早在 2013 年 Rapid 7 就发布了Security Flaws in Universal Plug and Play,报告总结了对UPnP 脆弱性的研究结论,其中包含了对互联网上暴露的资产做漏洞扫描的实验。所有暴露在互联网上的设备中,超过 8000 万台设备开
36、放了 UPnP 服务。报告中阐述的多种攻击手段中至少一种会影响其中约 40005000 万的设备,当中有 2300 万台设备,仅仅通过发送单个 UDP 数据包,就可以使设备执行系统命令。1.6.2 原理简介国内的 IPv4 的地址比较少,网络地址翻译(NAT)技术可以很好地解决地址不够用的问题,在网关2018 物联网安全年报142018 年重大物联网安全事件回顾处设置 NAT 可以解决将内网某些服务映射到外网以便访问的需求;此外,NAT 向外部屏蔽了非必要的内网服务,网关建立了内网设备与外部用户之间的边界,其他的服务在网关处得到保护。UPnP 技术在网关内的集成,使NAT的设置不但可以手动操作
37、,还可以由安装在内网机器的客户端开启UPnP协议后,与网关交互:网关可开启一个端口,将内网中的服务映射到外网。所以,为便于阐述,分为以下三个场景:1.网关没有 UPnP 功能。2.网关有 UPnP 功能,而内网设备不具备和网关的 UPnP 协议交互的功能。3.网关有 UPnP 功能,且内网设备具备和网关的 UPnP 协议交互的功能。假设 UPnP 协议或服务存在漏洞,且该漏洞能被攻击者利用,利用效果是:攻击者能把内网中的任意主机的任意端口映射到网关的端口上,那么,场景 2 和场景 3 的内网设备,如果开启了 SSH、FTP等服务,很有可能被攻击者攻陷。技术上,UPnProxy 是向网关的 XM
38、L 等配置文件中注入 NAT 表,从而配置网关使内网服务通过网关的端口暴露。这使得网关如同一个攻击者用来访问内网服务的代理服务器,因而被称为 UPnProxy。1.6.3 小结路由器和光猫作为家庭宽带上网的必备设备,更应该注重对网络边界的防护,UPnProxy 脆弱性提醒了物联网厂商需要在网关处加强防护,尤其是对内部服务的访问控制。一旦被攻击者渗透进家庭和企业内网,则面临隐私泄露,重要数据被勒索、甚至危害人身安全等风险。1.7 20 万台路由器被黑导致内网设备恶意挖矿1.7.1 事件回顾MikroTik 路由器开放了一个管理路由器的服务,可通过专用的软件(Winbox)密码认证后访问。在201
39、8 年 3 月份,MikroTik 通过博客公布了一个 WinBox 漏洞15。同年 8 月,互联网上约 20 万台未更新固件的 MikroTik 的路由器被发现与恶意的挖矿行为有关17。在此次事件中,攻击者通过向用户浏览的页面中植入 Coinhive 挖矿脚本,迫使用户在不知情的情况下,牺牲内网设备的算力挖掘 Monero 加密货币,并将获益转发给攻击者的钱包地址。2018 物联网安全年报152018 年重大物联网安全事件回顾1.7.2 原理简介利用 3 月公布的漏洞,攻击者可以通过 Winbox 从设备读取文件,获得对路由器的未经身份验证的远程管理员访问权限,从而管理路由器。成功登陆路由器
40、后,攻击者启用 HTTP 代理功能将所有 HTTP 403 的错误页面重定向到一个自己创建好的包含 Coinhive 挖矿脚本的页面,这样用户在浏览到任何类型的错误页面时,都会跳转到这个包含挖矿脚本的自定义页面进行挖矿。在 2018 年 10 月16,一位名为 icematcha 的研究人员研究了该漏洞并详细阐述了进一步利用后门控制 MikroTik 路由器并获取了 Linux 系统的 Bash,这次研究表明攻击者有途径利用该漏洞构建一个庞大的僵尸网络。图 1.6 利用后门获取 MikroTik 路由器的的 Bash1.7.3 小结3.2.4 节持续跟踪 Coinhive 家族控制的物联网设备
41、,并详细分析了该家族的挖矿设备的分布情况。尽管厂商及时发现并修补了该漏洞,但是一部分用户并没有及时升级固件,使得攻击者趁机攻陷了20 万台设备。可见定期获取厂家的安全通告、及时更新和加固设备是非常必要的。2018 物联网安全年报162018 年重大物联网安全事件回顾1.8 总结本章回顾了 2018 年 7 个物联网安全事件,其中前 3 个和 DDoS 攻击的事件相关,DDoSaaS 事件的出现,表明感染物联网设备、构建僵尸网络、直接发动 DDoS 可能已经不是最重要的目的,攻击者还会借助买卖 DDoS 服务牟利。由于物联网设备普遍存在脆弱点,今后暗网等灰色地带会经常出现基于物联网僵尸网络的网络
42、攻击服务的交易。不论是谁,可能仅需 20 美元即可完成一次高达 300Gbps 的 DDoS攻击,物联网相关的攻击的频次和强度无疑会增加,物联网设备的安全治理应引起足够重视。中间两个事件分别与国家和大型企业的安全相关,不仅仅包括物联网设备自身被攻击,还出现了计算机网络的攻击也会破坏物联网/工业互联网的运行安全这样新型安全问题,如台积电的设备被感染后停工了三天,影响了部分芯片的供应。甚至有些攻击夹带着国家行为,如乌克兰成功拦截了 VPNFilter针对化工厂的攻击行为。后两个事件中,一个事件是路由器的网络边界被突破导致的更多内网设备被暴露出来。可以想象,如果攻击者先将路由器等物联网设备开启 UP
43、nP 服务,然后新建 SSH 服务、FTP 服务、Telnet 服务的端口映射,攻陷内网的主机,那么,攻击者控制的僵尸主机会大量增加,再结合放大攻击等攻击技巧,可将 DDoS 攻击的峰值上升一个数量级。另一个事件是路由器被攻击者利用,诱使内网设备挖矿,可见一些攻击者在某些品牌的路由器的认知程度上已经达到专家级别,想要理清攻击者的攻击原理需要花费一定精力,这无疑将增大物联网安全防护难度。总之,感染物联网设备、买卖攻击服务、肆意发动攻击,其中甚至有国家行为的影子,这些事件表明针对物联网设备或由物联网设备发动的攻击对各国的关键信息基础设施安全构成了严重的威胁,物联网安全形势依然严峻。2018 物联网
44、安全年报17物联网资产暴露与变化情况分析2.物联网资产暴露与变化情况分析2物联网资产暴露与变化情况分析2018 物联网安全年报18物联网资产暴露与变化情况分析绿盟科技的 2017物联网安全年报 中,公开了物联网资产在互联网上的暴露情况,在过去的一年里,我们又进一步对物联网资产的暴露情况进行跟踪,本章将着重介绍一些我们的新发现。首先,给出了2018 年累计暴露的物联网资产的数量,通过对国内路由器、摄像头和 VoIP 电话的资产变化数量对比分析,发现有相当一部分数量物联网设备是处于频繁变化的状态中,接着对资产的网段变化情况以及对部分抽样网段实际扫描对比分析,初步验证了资产动态拨号入网的方式会导致资
45、产网络地址变化的猜想,对部分变化资产的ASN(Autonomous System Number)分布情况进行统计,描绘了变化的物联网的特征,最后又简述了物联网资产变化现象可能产生的影响。2.1 暴露物联网资产概况首先,我们通过对资产的统计,整理出了2018年全球和国内的物联网资产暴露情况,如图 2.1 所示。全球暴露在互联网上的物联网资产累计数量大约为 5100 万 1,中国暴露物联网资产累计数量为 1000 万左右,占全球的 20%,其中国内路由器和摄像头设备暴露累计数量最多,各有 400 多万。图 2.1 全球和国内物联网相关设备暴露情况设备类型暴露数量(个)1 192 41,791 99
46、3,445 4,752,926 4,239,729 379 9,830 473,501 1,319,448 21,252,312 27,957,765 门禁系统智能家居打印机VoIP电话摄像头路由器全球中国1观察周期为半年左右(2018 年 5 月 1 日到 2018 年 11 月 12 日)。2018 物联网安全年报19物联网资产暴露与变化情况分析从图 2.1 资产暴露的总体情况可知,国内的路由器、摄像头、VoIP 电话的暴露数量为前三,所以后续小节主要针对这三种物联网资产进行统计分析。对 NTI 1在 2018 年 7、8、9 三个月的扫描结果统计发现,554、80、5060、22、21
47、等 10 个端口的资产数量占总量的 94.1%,具体数据如图 2.2 和图 2.3 所示。国内开放 554 端口的资产数量最多,达 423 万,占总资产的 46.3%;其次是 80 端口,数量为 142 万,占总资产的 15.6%;开放 5060 端口的资产数量为 100 万,占总量的 11.6%。图 2.2 国内物联网资产的开放十大端口分布情况4,235,1111,426,0081,063,759563,572388,107241,767234,353163,282145,665130,4330500,0001,000,0001,500,0002,000,0002,500,0003,000,
48、0003,500,0004,000,0004,500,0005548050602221443238080808181暴露数量(个)端口号图 2.3 国内物联网资产的开放端口占比情况46.3%554818081808023443218050602215.6%11.6%6.1%4.2%2.6%2.5%1.7%1.5%1.4%5.9%其他1绿盟威胁情报中心 https:/2018 物联网安全年报20物联网资产暴露与变化情况分析观点 1:互联网上暴露的物联网资产,只有 30%的资产使用互联网常用的服务(HTTP,FTP 等),而多达 70%的资产使用物联网相关的服务(UPnP、RTSP 等)。所以想要
49、更准确地掌握物联网资产暴露情况,就需要提高对物联网设备协议的关注度。结合国内暴露的资产前十端口数据和对应的协议分布情况,发现开放 RTSP、SIP 和 UPnP 等服务的物联网资产数量大约有 500 多万,占国内暴露总量的 70%之多,而使用 HTTP、SSH、Telnet 等常用的服务仅占总量的 30%左右。过去,我们主要关注互联网上的常用服务协议扫描发现的资产,但如要更准确地掌握互联网上的物联网资产暴露情况,就需要提升对物联网设备协议的关注度,并且加大扫描力度、增加协议解析。图 2.4 物联网联资产的协议占比情况物联网互联网70%RTSP SIPUPNP.Others.30%HTTP HT
50、TPSSSHTELNET FTP需要说明的是图 2.1 的数字是 2018 年半年左右累计的互联网上暴露的物联网资产数量,但这些数字不能体现真实的暴露资产规模,也无助于了定位真实的物联网攻击源。原因是我们对比每轮扫描后,发现有相当一部分数量物联网设备处于不存活或网络地址频繁变化的状态中,所以更合理的统计口径应是在一个给定小范围时间内存活物联网资产数量,该数字更能体现相对真实的物联网设备暴露情况,也可提高类似如攻击源等物联网威胁分析的精准度。本章以下小节,如无特殊说明,均以该统计口径为准。2.2 暴露物联网资产的变化情况分析本节将根据不同端口及扫描时长 1的扫描数据,对各类型的物联网资产的变化情
浙ICP备2021020529号-1 | 浙B2-20240490 
