網絡犯罪分子對物聯網設備的興趣一直在增長:在2018上半年,我們觀察到的IoT惡意軟件樣本的數量是2017年全年的三倍。而2017年的數位則是2016年的10倍。這一趨勢對於未來而言不容樂觀。
囙此在這裡我們研究了以下三個問題:網絡犯罪分子感染智慧設備的攻擊向量、哪些惡意軟件被加載到用戶的系統中以及最新的僵屍網路對設備所有者和受害者來說意味著什麼。
2016年–2018年,卡巴斯基實驗室收集到的IoT惡意軟件樣本的數量
最流行的攻擊和感染向量仍然是針對Telnet密碼的暴力破解攻擊。在2018年第二季度,我們的蜜罐記錄的此類攻擊的數量是其它類型攻擊數量總和的三倍還要多。
在將惡意軟體下載到物聯網設備上時,網絡犯罪分子的首選項是Mirai家族(20.9%)。
成功破解Telnet密碼後下載到IoT設備上的惡意軟件Top10
以下是我們記錄到的Telnet攻擊最多的國家的Top 10:
2018年第二季度,受感染設備數量的地理分佈
如圖所示,2018年第二季度發起Telnet攻擊的IP地址(唯一)數量最多的國家是巴西(23%),第二名是中國(17%)。俄羅斯排名第四(7%)。在整個2018年1月至7月期間,我們的Telnet蜜罐共記錄到來自86560個IP地址(唯一)的超過1200萬次攻擊,並且從27693個IP地址(唯一)下載了惡意軟件。
由於一些智慧設備的所有者修改了默認的Telnet密碼並使用複雜的密碼,而許多小工具根本不支持這種協定,囙此網絡犯罪分子一直在尋找新的感染向量。這一情況還受到惡意軟件開發者之間的競爭所推動(他們之間的競爭導致了暴力破解攻擊效率越來越低):一旦成功破解了Telnet密碼,攻擊者就會更改設備的密碼並封锁對Telnet的訪問。
僵屍網路Reaper就是一個使用“替代科技”的很好的例子,它在2017年底感染了約200萬個IoT設備。該僵屍網路並沒有採用Telnet暴力破解攻擊,而是利用已知的軟件漏洞進行傳播:
l D-Link 850L路由器固件中的漏洞
l GoAhead網路攝像機中的漏洞
l MVPower CCTV攝像機中的漏洞
l Netgear ReadyNASSurveillance中的漏洞
l Vacron NVR中的漏洞
l Netgear DGN設備中的漏洞
l Linksys E1500/E2500路由器中的漏洞
l D-Link DIR-600和DIR 300–HW rev B1路由器中的漏洞
l AVTech設備中的漏洞
與暴力破解相比,這種傳播方法具有以下優點:
l 能更快地感染設備
l 對用戶而言,打補丁遠比修改密碼或禁用服務要難得多
儘管這種方法的實施難度更高,許多惡意軟體作者已經開始青睞這種方法。很快就會出現利用智慧設備軟件中的已知漏洞的新木馬。
為了觀察惡意軟件針對了哪些漏洞,我們分析了企圖連接到我們蜜罐的不同埠的數據。下錶是2018年第二季度的數據:
下錶是2018年第二季度攻擊我們蜜罐的受感染IoT設備的類型分佈:絕大多數攻擊仍然是針對Telnet和SSH密碼的暴力破解攻擊。第三大最常見的攻擊是針對SMB服務(檔案遠端存取服務)的攻擊。我們還沒有觀察到針對該服務的IoT惡意軟件。無論如何,某些版本的SMB中包含嚴重的已知漏洞,如永恆之藍(Windows)和永恒之紅(Linux)。舉個例子,臭名昭著的勒索軟件WannaCry和門羅幣礦工 EternalMiner就利用了這些漏洞。
我們可以看到,運行RouterOS的MikroTik設備在清單中一騎絕塵,其原因應該是Chimay-Red漏洞。
7547埠
針對7547埠上的遠程設備管理服務(TR-069協定)的攻擊十分常見。根據Shodan的查詢結果,全世界有超過4000萬臺設備的這個埠是打開的。這還是在該漏洞最近導致約100萬德國電信路由器被感染,更不用說用於分發惡意軟件家族Mirai和Hajime之後。
另一類攻擊則是利用了運行RouterOS版本6.38.4之下的MikroTik路由器中的漏洞Chimay-Red。在2018年3月,該攻擊被積極用於分發Hajime。
網路攝像機
網絡犯罪分子也沒有忽視網路攝像機。2017年3月研究人員在GoAhead設備的軟件中發現了幾個嚴重的漏洞。在相關資訊被披露的一個月後,利用這些漏洞的Gafgyt和Persirai木馬新變體出現了。僅在一周內,這些惡意程式就積極感染了57000個設備。
2018年6月1日,XionMaiuc-httpd web服務器中的漏洞(CVE-2018-10088)的相關PoC被公開。該產品被用於一些中國製造的智慧設備之中(如KKMoonDVRs)。一天之內,針對這些設備的有記錄的掃描嘗試增至三倍。這一激增的罪魁禍首就是Satori木馬,其以之前針對GPON路由器的攻擊而聞名。
DDoS攻擊
與以前一樣,物聯網惡意軟件的主要目的是進行DDoS攻擊。受感染的智慧設備成為僵屍網路的一部分,根據相關命令攻擊一個指定的地址,耗盡該主機用於處理真實用戶請求的資源和能力。木馬家族Mirai及其變體(尤其是Hajime)仍在部署此類攻擊。
這可能是對終端用戶危害最小的情况了。最壞情况(很少發生)也就是受感染設備的擁有者被ISP拉黑。而且通常情况下簡單地重啓設備就可以“治癒”該設備。
加密貨幣挖掘
另一類有效荷載與加密貨幣有關。例如,IoT惡意軟件可以在受感染設備上安裝惡意礦工。但是鑒於智慧設備的算力很低,這種攻擊的可行性還是一個疑問,即使它們的數量可能很大。
Satori木馬的創建者發明了一種更為狡猾和可行的獲取加密貨幣的方法。他將受感染的IoT設備作為訪問高性能電腦的一種鑰匙:
l 第一步,攻擊者首先試圖利用已知漏洞感染盡可能多的路由器,這些漏洞包括:
l CVE-2014-8361 –Realtek SDK的miniigd SOAP服務中的遠程程式碼執行漏洞
l CVE 2017-17215 –華為HG532系列路由器固件中的遠程程式碼執行漏洞
l CVE-2018-10561, CVE-2018-10562 –Dasan GPON路由器中的身份認證繞過漏洞和任意程式碼執行漏洞
l CVE-2018-10088 –XiongMai uc-httpd 1.0.0中的緩衝區溢出漏洞,該產品被用於部分中國製造的路由器和智慧設備的固件中
l 第二步,利用受感染的路由器和乙太坊挖礦軟件Claymore的遠端系統管理工具中的漏洞CVE-2018-1000049,將錢包地址替換成自己的。
數據竊取
在2018年5月檢測到的VPNFilter木馬則追求其它的目標。它首先攔截受感染設備的流量,然後從中選取重要的數據(用戶名、密碼等)並發送到網絡犯罪分子的服務器。下麵是VPNFilter的主要功能:
l 模組化架構。該惡意軟件的創建者可隨時添加新的功能。例如,2018年6月初檢測到一個用於向截獲的網頁注入JavaScript程式碼的新模塊。
l 自啟動機制。該木馬將自己寫入標準Linux計畫任務程式crontab,還可以修改設備的非易失性記憶體(NVRAM)中的配寘設定。
l 使用TOR與C&C服務器進行通信。
l 能够自毀並使設備“變磚”。一旦接收到相關命令,該木馬就會自我删除並用垃圾數據覆蓋固件的關鍵部分,然後重啓設備。
該木馬的傳播方法仍然未知:其程式碼中沒有包含自我傳播機制。無論如何,我們傾向於認為它通過利用設備軟件中的已知漏洞來感染設備。
第一份關於VPNFilter的報告稱其感染了約50萬個設備。從那時起,更多的設備被感染了,並且易受攻擊的設備廠商列表大大加長了。到六月中旬,其目標包括以下品牌的設備:
l ASUS
l D-Link
l Huawei
l Linksys
l MikroTik
l Netgear
l QNAP
l TP-Link
l Ubiquiti
l Upvel
l ZTE
由於這些廠商的設備不僅在公司網絡中使用,而且常被用作家用路由器,這使得情况變得更糟。
智慧設備正在崛起,有人預測稱2020年智慧設備的數量將超過世界總人口數量的好幾倍。然而廠商們還是沒有重視設備的安全性:在設備初始化設定過程中,他們沒有提醒用戶去修改默認密碼;他們也沒有向用戶發佈關於新固件版本的通知;甚至更新過程本身對普通用戶而言都顯得十分複雜。這使得物聯網設備成為網絡犯罪分子的主要攻擊目標,甚至比個人電腦更容易受到感染。物聯網設備通常在家庭基礎設施中扮演了一個重要的角色:有些用於管理網路流量,有些用於拍攝監控視頻,還有一些用於控制家用設備(如空調等)。
針對智慧設備的惡意軟件不僅在數量上增長,而且在質量上也在增長。越來越多的exploits(漏洞利用程式)被網絡犯罪分子開發出來。而除了傳統的DDoS攻擊之外,被感染的設備還被用於竊取個人數據和挖掘加密貨幣。
下麵是一些可以幫助减少智慧設備感染風險的小技巧:
l 除非絕對必要,否則禁止從外部網絡訪問設備
l 定期重啓有助於清除已感染的惡意軟件(儘管大多數情况下還存在再次感染的風險)
l 定期檢查是否存在新版本的固件並進行更新
l 使用複雜密碼(長度至少為8比特,包含大小寫字母、數位和特殊字元)
l 在初始設定時更改出廠密碼(即使設備未提示您這樣做)
l 如果存在該選項,則關閉/禁用不使用的埠。例如,如果您不打算通過Telnet(佔用TCP埠23)連接到路由器,則最好禁用該埠以降低被入侵的風險。
原文連結:https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/