|  站内搜索:
网站首页 > 时事聚焦 > 深度评析 > 阅读信息
物联网装置不设防,助纣为虐做帮凶
点击:  作者:David Holmes    来源:国脉物联网  发布时间:2018-08-01 13:18:56

  

F5 Networks发表了“猎杀IoT”(The Hunt for IoT)系列报告第四集,该研究分析了全球IoT装置在201771日至1231日期间所遭受的Telnet攻击。该证据显示殭尸物联网的成长与进化势必将带来混乱与混乱。

 

根据创新扩散理论(Diffusion of Innovation),目前尚未跨越鸿沟到达物联网(IoT)主流市场采纳(目前的部署数量为84亿,预测2020年将达200300亿,2035年达到1兆)。被骇的IoT装置试图跨越鸿沟到未来,未来应该是光明且自动化的,但如果不处理好威胁问题的话,未来愿景将无法实现。

 

F5 Labs与其数据合作伙伴Loryka一起追踪了两年的“猎杀IoT”。主要围绕23端口Telnet暴力攻击,因为它们是破坏物联网设备最简单、最常见危及物联网设备的安全的方式。从技术的角度来看,他们只需要在攻击计划中采取更多步骤,并且针对非标准端口和协议、特定制造商、设备类型或型号,就可以全面发动攻击。例如,至少有4,600万个家庭路由器容易受到攻击。

 

我们已经目睹了攻击者正在演变他们的手段和目标市场,以便像合法企业和金融市场那样透过妥协的物联网设备来赚钱。

 

该研究也发现,有新的威胁网络和IP地址不断地加入物联网狩猎行列,成为新威胁参与者,并且随着时间的推移,已经演变为一致共存的顶级威胁参与者。它们可能使用受欢迎的网络如托管服务提供商,或电信网络中的住宅物联网设备,利用家庭路由器、无线IP摄影机和DV R透过Telnet进行攻击,并发起DDoS攻击。

 

1、殭尸物联网的威胁持续存在

 

经过两年的数据分析后,仍然看到同样的威胁IP、网络和国家在发动攻击。这代表若不是恶意流量未被处理,否则就是遭感染的IoT装置没有接受净化,要不然不会一再地看到相同的威胁者。这些攻击建立了强大的殭尸物联网,具备发动全球毁灭性攻击的能力,而安全产业也越来越频繁的发现它们,如图1所示。

 

1.webp (9).jpg 

 

▲ 图1 由物联网攻击机器人(Thingbot)发起的前十五大攻击

 

因此,本期报告首度揭露这些攻击IP。非仅殭尸物联网被发现的频率增加,单是20181月就有四个新殭尸物联网,而且攻击者的攻击方法持续进化,除了Telnet之外,还瞄准一些协议,为的是确保能够尽可能猎杀最多脆弱的IoT装置,如图2所示。

 

 1.webp (10).jpg

 

▲图2 透过Telnet实施的网络攻击

 

2Telnet攻击构筑大规模殭尸物联网

 

尽管IoT攻击已扩充至Telnet以外的协议,不过Telnet暴力攻击仍然是最普遍使用的手法,数量从20162017成长249%

 

2017712月期间的攻击数量低于前六个月期,然而攻击层级则和Mirai相当,而且比用来构筑Mirai的数量还多,如图3所示。这个攻击数量足以构筑许多相当大规模的殭尸物联网,因此纵使数量减少,但并不表示攻击者兴趣减低或者威胁降低,而是因为过去已有如此众多Telnet攻击,因此攻击者达到一个饱和点。Telnet唾手可得的果实很容易被捡走。

 

 1.webp (11).jpg

 

▲图3 20161月至201712月每季Telnet攻击统计

 

若以过去两年的Telnet攻击活动和Telnet殭尸物联网被发现的时候做比较,就可以从数据看出安全研究人员总是比攻击者落后数个月(若非数年的话)。已报导的Telnet攻击,至少已建构九个相当大的殭尸物联网,而且还有空间可建构更多殭尸物联网,只是目前尚未发现(图4)。

 

 1.webp (12).jpg

 

▲图4 来自ThingbotTelnet攻击统计

 

3Mirai殭尸物联网正在增长

 

已知的殭尸物联网例如MiraiPersirai(透过Telnet攻击)尽管大家普遍知道它们的存在和威胁,但仍继续成长。从20176月到12月,Mirai在拉丁美洲显著成长,而在美国、加拿大、欧洲、中东、非洲、亚洲和澳洲也都呈现中度成长,如图5所示。

 

 1.webp (13).jpg

 

▲图5 201712月全球Mirai殭尸物联网分布图

 

4、依照地区区分攻击来源和目标

 

中国、美国和俄罗斯是三大攻击国。在这段期间,44%攻击源自中国,另外44%源自十大攻击国的第2到第10排名国家,每一个国家占总数量的10%以下。其余22%源自一些流量少于1%的数个国家,如图6所示。

 

 1.webp (14).jpg

 

▲图6 前十名攻击来源国家

 

没有特别突出的IoT攻击目标国,因为脆弱的IoT装置无差别地部署在全球。没有任何国家拥有一个未遭受攻击的安全IoT部署。在报告的六个月期间,最常遭受攻击的国家为美国、新加坡、西班牙和匈牙利,如图7所示。

 

 1.webp (15).jpg

 

▲图7 前十名最常遭受攻击的国家

 

5、依产业区分攻击

 

在这段期间,前五十大攻击自治系统编号(ASN)有80%属于电信或ISP公司,那正是IoT装置驻留的地方(相较于主机代管公司的服务器)。若要让IoT发动攻击,就必须骇入这些装置。

 

6、威胁的下一步?

 

物联网装置由于安全性很差而且实行全球规模的广泛部署,因此必须将它们视为一种迫切的威胁。十年来,它们不但已被骇并且继续被当成攻击的武器,而我们甚至还没有迈入IoT的大量消费者采纳阶段。如果不开始着手处理这个问题,可以确定的是,未来将会很混乱。

 

IoT安全性必须靠个人、政府和制造商共同维护,包括全球网民应该做的事、企业和政府(他们都建置IoT并遭受IoT攻击)应该做的事、以及IoT制造商应该结合到产品开发生命周期的措施,详如表1

 

7、将威胁映像到活动主题

 

殭尸物联网是利用被骇的IoT装置建构而成,它和传统殭尸网络不同的地方在于修复能力。物联网装置典型上都属于非管理型的装置。一个遭入侵的IoT装置被其所有者发现并予以修复的机会相当低,这正是为什么过了二年还会看到相同的攻击装置。恶名昭彰的Mirai也因为如此,不但没有被毁灭,反而继续成长。

 

殭尸物联网可以发动一如传统殭尸网络所能的任何攻击,而且因为它们的规模而更具危害性。这些陈述和殭尸物联网数据,可使用于任何讨论殭尸网络流量与攻击的主题活动。

 

1.webp (16).jpg 

 

1 IoT安全性须由所有人共同维护

 

在报告中,整理出已知的殭尸物联网与它们发动的攻击,以及可以运用殭尸物联网的十五种不同攻击类型(可供使用于意见领袖及未来讨论)。因此,猎杀IoT报告系列可用于支持现在所有的安全活动,例如:

 

DDoS:殭尸物联网可以发动每秒Terabit等级的全球毁灭性DDoS攻击,但也经常被用于较小规模的DDoS for Hire攻击。

 

WAF:殭尸物联网发动Web应用入侵行动,骇入应用程序并且进行加密货币挖矿(Mine Cryptocurrency)、收集数据、利用应用程序作为垃圾邮件转送或点击农场(Click Farm)等。

 

SSL-O:殭尸物联网侵入网络和应用程序,并利用加密以掩饰它们的恶意流量,需要解密才能分辨攻击。

 

访问控制/联合身分识别:殭尸物联网利用收集自IoT装置和其他入侵方式取得的帐密,对应用程序发动帐密填充攻击。

 

Web诈欺:殭尸物联网携载银行木马病毒。

 

【作者:David Holmes,现为F5 Labs威胁情报实验室首席安全研究分析师。】

责任编辑:红星
特别申明:

1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;

2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;

3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。

作者 相关信息

  • 物联网装置不设防,助纣为虐做帮凶

    2018-08-01
  • 昆仑专题

    热点排行
  • 一周
  • 一月
  • 半年
  • 建言点赞
  • 一周
  • 一月
  • 半年
  • 图片新闻

    友情链接
  • 北京市赵晓鲁律师事务所
  • 186导航
  • 红旗文稿
  • 人大经济论坛
  • 光明网
  • 宣讲家网
  • 三沙新闻网
  • 西征网
  • 四月网
  • 法律知识大全
  • 法律法规文库
  • 最高人民法院
  • 最高人民检察院
  • 中央纪委监察部
  • 共产党新闻网
  • 新华网
  • 央视网
  • 中国政府网
  • 中国新闻网
  • 全国政协网
  • 全国社科办
  • 全国人大网
  • 中国军网
  • 中国社会科学网
  • 人民日报
  • 求是理论网
  • 人民网
  • 备案/许可证编号:京ICP备15015626号-1 昆仑策咨询服务(北京)有限公司版权所有 举报邮箱:[email protected]