随着物联网的不断发展,物联网安全也被越来越多的人所关注。我们于2016年发布《物联网安全白皮书》,进行物联网安全的科普介绍;并于2017年发布《2017物联网安全年报》,关注物联网资产在互联网上的暴露情况、设备脆弱性以及威胁风险分析。今年,我们持续深入研究物联网资产和威胁:在资产方面,我们关注如何更精准地刻画暴露在互联网上的物联网资产分布情况;在威胁分析方面,我们将重点类别的物联网资产关联从互联网上发现的异常事件,跟踪相关的物联网威胁,包括各类恶意攻击和恶意家族。
执行摘要
首先,我们回顾了2018年7个影响较大的物联网安全事件。在2018年,攻击者利用漏洞编写恶意软件感染大量物联网设备、在暗网买卖攻击服务、肆意发动破坏和勒索攻击。这些行为显然针对物联网设备或由物联网设备发动的攻击,对国家关键信息基础设施、大型企业和个人的安全构成了严重的威胁,物联网总体安全形势依然严峻,处置和缓解物联网威胁任重道远。
我们在去年的报告中提到,互联网上暴露的各类物联网设备累计高达6000万台,这是对端口进行一年的扫描数据的统计结果。由于一年内多个扫描轮次中,物联网设备的网络地址可能会发生变化,通过这种统计口径得出的数据不能反映物联网资产某段时间的真实暴露情况。为了解物联网资产准确的变化情况,我们对比了多个扫描轮次的数据,有如下发现:
通过对国内路由器、摄像头和VoIP电话的资产变化数量对比分析,发现有至少40%的物联网资产的网络地址处于频繁变化的状态中,而同时资产的网络地址所映射的网段只有10%发生变化。我们进而对部分变化网段进行抽样分析,发现超过90%的抽样网段资产的网络地址采用拨号方式入网。那么无论是描绘暴露物联网资产,还是追溯发动恶意攻击的设备,都不能忽视考虑物联网资产网络地址的变化因素。
除了对于物联网资产暴露情况的深入研究外,我们对将近半年的全网扫描的物联网资产数据和绿盟威胁情报中心(NTI)的威胁情报数据、可管理服务的安全设备的日志告警信息,以及合作第三方的数据进行关联,以统计并分析暴露在互联网上的物联网资产的风险和遭受威胁趋势。
分析近半年的物联网资产的行为可知,在所有设备和出现过异常行为的设备中,路由器和摄像头比例均为最高,异常设备的行为主要以DDoS攻击、僵尸网络通信和扫描探测为主,存在这些行为的异常物联网设备占所有异常物联网设备的79.36%;在所有异常物联网设备中,开放554端口的摄像头数量最多,此类物联网设备的安全检查需要得到重点关注。物联网攻击体现出很强的家族属性,从蜜罐捕获和僵尸网络跟踪的角度看,Mirai和Gafgyt两大家族的物联网恶意样本数量最多,而从检测到的攻击行为角度看,物联网僵尸主机家族的前两名是Gafgyt和XorDDos。从全球视角观察,不同国家的恶意物联网设备发动的攻击手法具有差异性,以路由器为例,美国的异常路由器的主要以漏洞利用的手段被利用,但巴西的主要以恶意挖矿为主等;聚焦国内,我们发现无论是物联网设备的总数,还是异常物联网设备的数量,都与区域的经济发展水平有较强的关联,特别是第三产业。从厂商角度观察,2018年4月份,MikroTik路由器的漏洞披露后被利用进行恶意挖矿,我们在10月发现仍有大量MikroTik路由器在挖矿,导致MikroTik是我们在2018年观察到设备被恶意利用最多的厂商。物联网安全一从设计之初要考虑安全问题,二在体系建设时要在端管云都要做好防护,三在安全治理时要考虑大量存量的弱安全设备,足见其任重道远,绝非一朝一夕可成。
在研究物联网暴露资产和跟踪威胁时,我们发现大量UPnP服务暴露在互联网上,沦为攻击者的利用对象,成为DDoS攻击的重要来源。我们有如下发现:
全球有约280万台物联网设备开放了UPnP SSDP服务(1900端口),存在被利用进行DDoS攻击的风险,其中有38.6%的设备同时还开放了UPnP SOAP服务,在这些开放SOAP服务的设备中,69.8%的设备存在漏洞。由于SOAP服务缺乏鉴权机制,约41万台端口映射服务可访问的物联网设备存在被入侵的可能。在这些设备中,有8.9%的设备被发现存在恶意的端口映射条目,例如会将内网的445端口和139端口暴露在互联网上,而开启这两个端口服务可能存在遭受永恒之蓝、永恒之红的攻击的风险,平均每个受感染的设备存在282条感染记录。我们发现两类添加恶意端口映射的家族IntraScan和NodeDoS:IntraScan试图将所有的内网端口都暴露在互联网上,全球有约9千台设备受到感染;NodeDoS存在两种恶意行为,一是映射到8.8.8.8的53端口,推测其将设备作为DNS反射攻击的肉鸡集群,二是映射到某色情广告平台,进行分布式广告点击从中获利,全球目前有约600台设备受到感染。
我们通过全球部署的蜜罐研究UPnP攻击态势,通过对近两个月的数据进行分析,我们观察到1056次SSDP反射攻击事件,此外还捕获到如UPnP的探测扫描、针对CVE的远程代码注入等恶意行为。
纵观2018年,物联网安全事件频发,原因有三:第一,物联网设备本身风险高、易被利用,同时大量暴露在互联网上;第二,DDoS服务、勒索和恶意挖矿易变现且其低风险受到攻击者亲睐,攻击者可利用开源的武器库快速组装恶意软件,进而扫描、渗透并控制物联网设备;第三,物联网的供应链长、碎片化严重,物联网厂商不具备所需的安全能力,安全厂商无法参与整个物联网产品的设计、实现、生产和升级环节。此外物联网安全相关的标准、法律法规尚未完善,监管机构缺乏有效的落地方针。因而,我们建议安全厂商、物联网厂商、物联网服务商、网络运营商及国家相关部门需要通力协作,从横贯云管端安全的顶层设计,到具体产品的安全设计实现测评,从威胁预警和安全治理结合的监管体系,到产业合作创建多赢的商业模式,携手共建物联网安全生态环境。
最后,我们有如下预测:
在未来几年中,随着国家大力推动IPv6战略,暴露在互联上的物联网资产数量可能会剧增,随之而来的安全问题也会增多。并且物联网安全事件不会减少,甚至会因被黑产利用而增多。
由于互联网上暴露的物联网设备数量庞大,且相关漏洞层出不穷,物联网恶意家族[1]如Gafgyt、Mirai和XorDDoS等较为活跃,且僵尸网络呈现出服务化、集中化,基本形成托管服务(DDoSaaS、Ransomware-aaS、Cryptojacking-aaS),攻击者只需在暗网购买服务即可完成攻击,无需花费构建的时间等,致使威胁进一步增大。相信由此类服务发动的攻击会频繁见诸报端。
由于很多网关类设备都开启了UPnP服务,而这些设备大多是遗留设备,短期内很难通过固件升级或替换来解决相关安全问题,随着攻击者对于UPnP的认知逐渐加深,UPnP带来的威胁将更加严重,特别是针对家庭和企业的内部网络的攻击。
报告下载
[1] 物联网恶意家族是指以物联网设备为肉鸡目标的僵尸网络家族。