近兩年來,隨着物聯網相關技術的發展,幾乎所有的家用電器都可以接入網絡。智能化的應用給生活帶來便利的同時,其副作用也隨之而生。2016年,攻擊者使用Mirai病毒用殭屍物聯網設備讓一個新聞網站的重要防火牆癱瘓之後,緊接着Dyn DNS service遭受到攻擊,使得美國網絡中流砥柱的公司大面積癱瘓,影響遍及數百萬人羣。
(圖1物聯網惡意IP可選的描繪維度)
通常情況下,可以從地址類型、網絡位置、行爲位置、風險類型等多個方面對某一IP進行描繪,IP維度上產生的信息,可以在很多業務場景中配合使用,如果對一些可疑的IP進行合理的描繪,輸出相關的情報信息,從某些方面講也可以爲惡意攻擊提供一定的預警能力。本文對物聯網設備的IP進行了分析,主要從設備類型,開放服務,地域信息,攻擊類型四個方面進行描繪,而且對這些維度進行分析,從中得出現有的惡意物聯網IP的特徵,並分析這些特徵產生的可能原因。
由2017年3月份綠盟科技創新中心物聯網安全實驗室和威脅情報實驗室聯合發表的《國內物聯網資產的暴露情況分析》(http://t.cn/RaGywgI)中瞭解到,國內有十幾種物聯網設備存在數量較多的暴露情況,根據數量排序依次列出。
(圖2全球和國內物聯網相關設備暴露情況)
本文物聯網資產數據全部來源於NTI(綠盟威脅情報中心),通過設備類型標籤提取出物聯網資產,將結果與歷史攻擊事件數據庫中3000w IP進行撞庫處理,最後共獲得77860條惡意物聯網資產記錄,並將以上兩個數據庫的字段相結合做了如下相關分析。
一、攻擊類型分析
惡意的物聯網資產以肉雞爲主,主要發動掃描和DDoS攻擊。
我們對威脅IP歷史攻擊事件數據庫中提取的惡意物聯網資產的攻擊類型字段進行統計,對於物聯網資產而言,多數惡意的物聯網設備都是被其他主機控制,組成殭屍網絡進行攻擊。如圖3所示,除了其他攻擊類型以外,Botnet(殭屍網絡)總量佔比最多,主要做Scanners(掃描器)和DDoS攻擊。當初的Mirai事件就是黑客利用物聯網設備的弱口令等安全漏洞,主要對網絡監控設備實施入侵,並植入惡意軟件構建殭屍網絡進行DDoS攻擊,致使被攻擊的網絡癱瘓的現象。
(圖3惡意物聯網資產攻擊類型數量分佈)
二、設備類型分析
惡意物聯網設備中路由器和網絡攝像頭數量最多,佔惡意總量90%以上。
從上圖可以看出惡意物聯網IP中路由器和網絡攝像頭兩種設備佔總量的90%以上,是什麼導致二者數量佔比這麼多呢?分析猜測有以下幾點原因。首先,從圖 4物聯網資產暴露情況來看,惡意物聯網設備類型的數量排名與暴露的數量的排名幾乎相吻合,暴露的基數越大該設備被控制的數量可能就會越多;其次,因爲多數人並不知道路由器,攝像頭等物聯網設備會被大規模植入惡意軟件,所以此類設備很少有防護,而且具有常開的特性,操控者不擔心會失去連接,這爲攻擊提供了很大的便利;最後也跟NTI的物聯網資產數據有關,可能因爲NTI對攝像頭和路由器識別基數大,所以路由器和攝像頭的惡意資產較多。以上等等均爲推測,欲知確切原因,還需要更多數據進一步佐證。
(圖4惡意物聯網設備類型分佈情況)
三、區域分佈分析
全球惡意的物聯網殭屍網絡大多數分佈在人口較多的發展中國家。
印度的物聯網殭屍網絡數量最多,其次是中國和巴西,三個都是發展中國家,而且人口基數都很大,可能對路由器、攝像頭等物聯網設備需求也較多,並且一定程度上說明這些國家地區的人們對物聯網安全意識相對薄弱。
(圖5惡意物聯網設備全球分佈示意圖)
(圖6惡意物聯網設備國家數量分佈)
國內惡意的物聯網殭屍網絡主要分佈在東南沿海地帶,包括長三角,珠三角和京津冀經濟帶,香港地區是重災區。
如圖7所示,惡意物聯網設備主要分佈在東南沿海和京津冀地帶,產生這一現象可能是因爲發達的經濟帶物聯網設備的基數本身就大,所以這些地區的惡意物聯網設備數量相對其他地區會多一些。當然這只是一種猜測,具體原因還需進一步的數據支撐和分析得出。由圖 8 可知,香港地區的惡意物聯網資產數量最多,且根據《國內物聯網資產的暴露情況分析》顯示,該地區的物聯網設備暴露情況令人堪憂,看來暴露情況和惡意情況很可能正相關。
(圖7惡意物聯網設備國內分佈示意圖)
( 圖8惡意物聯網設備國內數量分佈)
四、開放式服務分析
被控制的物聯網設備大部分開放多個端口,開放最多的是WEB服務。
我們對惡意的物聯網設備開放的服務數量進行了統計(端口開放可能包括歷史數據),其中絕大部分開放端口爲80,161,37777。通過分析惡意物聯網資產協議和默認端口的對應關係,發現開放最多的協議爲HTTP協議(圖 10),也就是說在惡意的物聯網設備中,開放最多的是WEB服務。
(圖9惡意物聯網設備的端口分佈)
(圖10惡意物聯網設備的端口分佈)
當然以上都是從客觀的維度進行的分析,但是如果想找到惡意的物聯網設備,還需根據具體的網絡活動看其是否有惡意的行爲,包括是否有與C&C主機連接行爲和是否有攻擊行爲兩個方面。如果能查到某物聯網資產與已知的C&C主機連接,該物聯網設備就有肉雞的嫌疑,而該物聯網資產有攻擊相關流量,就可以進一步確定其爲肉雞。分析了這麼多,作爲使用者我們該如何防止自己的物聯網設備,不被他人攻擊呢?這裏結合我們的分析,簡單的總結了一些建議:
(1)修改初始口令以及弱口令,加固用戶名和密碼的安全性;
(2)關閉不用的端口和服務,如FTP(21端口)、SSH(22端口)、Telnet(23端口)等,WEB服務儘可能的不暴露在公網;
(3)及時升級設備固件,修復漏洞。
當然如果你對以上技術建議並不是很care,或者沒有精力做這些配置操作,但又擔心家裏的物聯網設備遭受攻擊,也許你需要一款具備安全能力的路由器。根據上文的分析安全路由器應至少具備以下能力:
1.掃描識別能力
對接入路由器內的設備進行定期掃描,識別其設備類型、開放服務、固件版本號等信息,提示使用者關閉不必要的端口和服務,對存在高危的固件版本提示升級。
2.惡意行爲監測
對路由器內設備的訪問連接行爲進行識別,根據威脅情報等信息對設備連接的惡意的IP或URL進行告警或阻斷,保護內網設備不被惡意主機連接控制。
隨着家庭物聯網設備種類的增多,其攻擊面也必然會越來越廣,相對於安全問題,消費者可能更會將精力放在產品的使用。可安全問題怎麼辦呢?所以如果在家庭的場景中配置一個安全路由器,讓其來輔助消費者保護家中的智能設備的安全,似乎可以很好的解決以上衝突。隨着技術的進步,人們對智能設備需求的增加,物聯網設備的攻擊面肯定不僅限於本文提到這些,所以關於安全路由器的能力可能還需進一步的挖掘和探討。