卡巴斯基:2018上半年物聯網威脅新趨勢
前言
網路犯罪分子對物聯網裝置的興趣一直在增長:在 2018 上半年,我們觀察到的 IoT 惡意軟體樣本的數量是 2017 年全年的三倍。而 2017 年的數字則是 2016 年的 10 倍。這一趨勢對於未來而言不容樂觀。
因此在這裡我們研究了以下三個問題:
網路犯罪分子感染智慧裝置的攻擊向量;
哪些惡意軟體被載入到使用者的系統中;
最新的殭屍網路對裝置所有者和受害者來說意味著什麼。
2016 年 – 2018 年,卡巴斯基實驗室收集到的 IoT 惡意軟體樣本的數量
最流行的攻擊和感染向量仍然是針對 Telnet 密碼的暴力破解攻擊。在 2018 年第二季度,我們的 sary/honeypot-glossary/" ref="nofollow" rel="nofollow,noindex" target="_blank">蜜罐 記錄的此類攻擊的數量是其它型別攻擊數量總和的三倍還要多。
| 目標服務 | 在所有攻擊中的百分比 % |
|---|---|
| Telnet | 75.40% |
| SSH | 11.59% |
| 其它 | 13.01% |
在將惡意軟體下載到物聯網裝置上時,網路犯罪分子的首選項是 Mirai家族 ( 20.9% )。
| # | 下載的惡意軟體 | 在所有攻擊中的百分比 % |
|---|---|---|
| 1 | Backdoor.Linux.Mirai.c | 15.97% |
| 2 | Trojan-Downloader.Linux.Hajime.a | 5.89% |
| 3 | Trojan-Downloader.Linux.NyaDrop.b | 3.34% |
| 4 | Backdoor.Linux.Mirai.b | 2.72% |
| 5 | Backdoor.Linux.Mirai.ba | 1.94% |
| 6 | Trojan-Downloader.Shell.Agent.p | 0.38% |
| 7 | Trojan-Downloader.Shell.Agent.as | 0.27% |
| 8 | Backdoor.Linux.Mirai.n | 0.27% |
| 9 | Backdoor.Linux.Gafgyt.ba | 0.24% |
| 10 | Backdoor.Linux.Gafgyt.af | 0.20% |
成功破解 Telnet 密碼後下載到 IoT 裝置上的惡意軟體 Top10
以下是我們記錄到的 Telnet 攻擊最多的國家的 Top 10 :
2018 年第二季度,受感染裝置數量的地理分佈
如圖所示, 2018 年第二季度發起 Telnet 攻擊的 IP 地址(唯一)數量最多的國家是巴西( 23% ),第二名是中國( 17% )。俄羅斯排名第四( 7% )。在整個 2018 年 1 月至 7 月期間,我們的 Telnet 蜜罐共記錄到來自 86560 個 IP 地址(唯一)的超過 1200 萬次攻擊,並且從 27693 個 IP 地址(唯一)下載了惡意軟體。
由於一些智慧裝置的所有者修改了預設的 Telnet 密碼並使用複雜的密碼,而許多小工具根本不支援這種協議,因此網路犯罪分子一直在尋找新的感染向量。這一情況還受到惡意軟體開發者之間的競爭所推動(他們之間的競爭導致了暴力破解攻擊效率越來越低):一旦成功破解了 Telnet 密碼,攻擊者就會更改裝置的密碼並阻止對 Telnet 的訪問。
殭屍網路 Reaper 就是一個使用“替代技術”的很好的例子,它在 2017 年底感染了約 200 萬個 IoT 裝置。該殭屍網路並沒有採用 Telnet 暴力破解攻擊,而是利用已知的軟體漏洞進行傳播:
D-Link 850L路由器韌體中的漏洞
Netgear ReadyNASSurveillance中的漏洞
D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞
AVTech 裝置中的漏洞
與暴力破解相比,這種傳播方法具有以下優點:
能更快地感染裝置;
對使用者而言,打補丁遠比修改密碼或禁用服務要難得多。
儘管這種方法的實施難度更高,許多惡意軟體作者已經開始青睞這種方法。很快就會出現利用智慧裝置軟體中的已知漏洞的新木馬。
一、新的攻擊,舊的惡意軟體
為了觀察惡意軟體針對了哪些漏洞,我們分析了企圖連線到我們蜜罐的不同埠的資料。下表是 2018 年第二季度的資料:
| 服務 | 埠 | 所佔比例 % | 攻擊向量 | 惡意軟體家族 |
|---|---|---|---|---|
| Telnet | 23, 2323 | 82.26% | 暴力破解 | Mirai, Gafgyt |
| SSH | 22 | 11.51% | 暴力破解 | Mirai, Gafgyt |
| Samba | 445 | 2.78% | 永恆之藍 , 永恆之紅 , CVE-2018-7445 | – |
| tr-069 | 7547 | 0.77% | NTPServer+Exploits+What+we+know+so+far/21763/" rel="nofollow,noindex" target="_blank">TR-069實現中的RCE漏洞 | Mirai, Hajime |
| HTTP | 80 | 0.76% | 利用 web 伺服器中的漏洞或破解管理控制檯密碼 | – |
| winbox (RouterOS) | 8291 | 0.71% | 針對RouterOS(MikroTik)的攻擊中獲得的憑據 和 基於WinBox的攻擊 | Hajime |
| Mikrotik http | 8080 | 0.23% | 版本低於 6.38.5 的 MikroTik RouterOS 中的遠端程式碼執行漏洞 Chimay-Red | Hajime |
| MSSQL | 1433 | 0.21% | 版本 2000 、 2005 、 2008 中的任意程式碼執行漏洞;修改管理員密碼;資料竊取 | – |
| GoAhead httpd | 81 | 0.16% | 360.com/a-new-threat-an-iot-botnet-scanning-internet-on-port-81-en/" rel="nofollow,noindex" target="_blank">GoAhead網路攝像機中的遠端程式碼執行漏洞 | Persirai, Gafgyt |
| Mikrotik http | 8081 | 0.15% | Chimay -Red | Hajime |
| Etherium JSON-RPC | 8545 | 0.15% | 身份認證繞過漏洞(CVE-2017-12113) | – |
| RDP | 3389 | 0.12% | 暴力破解 | – |
| XionMai uc-httpd | 8000 | 0.09% | pingcomputer.com/news/security/all-that-port-8000-traffic-this-week-yeah-thats-satori-looking-for-new-bots/" rel="nofollow,noindex" target="_blank">一些中國製造的裝置的XionMai uc-httpd 1.0.0中的緩衝區溢位漏洞(CVE-2018-10088) | Satori |
| MySQL | 3306 | 0.08% | 版本 2000 、 2005 、 2008 中的任意程式碼執行漏洞;修改管理員密碼;資料竊取 | – |
絕大多數攻擊仍然是針對Telnet和SSH密碼的暴力破解攻擊。第三大最常見的攻擊是針對SMB服務(檔案遠端訪問服務)的攻擊。我們還沒有觀察到針對該服務的IoT惡意軟體。 無論如何,某些版本的SMB中包含嚴重的已知漏洞,如永恆之藍(Windows)和永恆之紅(Linux)。舉個例子,臭名昭著的勒索軟體 WannaCry 和門羅幣礦工 EternalMiner 就利用了這些漏洞。
下表是 2018 年第二季度攻擊我們蜜罐的受感染 IoT 裝置的型別分佈:
| 裝置 | 所佔比例 % |
|---|---|
| MikroTik | 37.23% |
| TP-Link | 9.07% |
| SonicWall | 3.74% |
| AV tech | 3.17% |
| Vigor | 3.15% |
| Ubiquiti | 2.80% |
| D-Link | 2.49% |
| Cisco | 1.40% |
| AirTies | 1.25% |
| Cyberoam | 1.13% |
| HikVision | 1.11% |
| ZTE | 0.88% |
| Miele | 0.68% |
| Unknown DVR | 31.91% |
我們可以看到,執行 RouterOS 的 MikroTik 裝置在列表中一騎絕塵,其原因應該是 Chimay-Red 漏洞。有趣的是,列表中還包括 33 個美諾洗碗機(佔攻擊總數的 0.68% )。它們很可能是通過其韌體中的 PST10web 伺服器漏洞 CVE-2017-7240 被感染的(該漏洞於 2017 年 3 月公開)。
埠7547
針對埠 7547 上的遠端裝置管理服務( TR-069 協議)的攻擊十分常見。根據 Shodan 的查詢結果,全世界有超過 4000 萬臺裝置的這個埠是開啟的。這還是在該漏洞最近導致約 100 萬德國電信路由器被感染,更不用說用於分發惡意軟體家族 Mirai 和 Hajime 之後。
另一類攻擊則是利用了執行 RouterOS 版本 6.38.4 之下的 MikroTik 路由器中的漏洞 Chimay-Red 。在 2018 年 3 月,該攻擊被積極用於分發 Hajime 。
網路攝像機
網路犯罪分子也沒有忽視網路攝像機。 2017 年 3 月研究人員在 GoAhead 裝置的軟體中發現了幾個嚴重的漏洞。在相關資訊被披露的一個月後,利用這些漏洞的 Gafgyt 和 Persirai 木馬新變體出現了。僅在一週內,這些惡意程式就積極感染了 57000 個裝置。
2018 年 6 月 1 日, XionMaiuc-httpd web 伺服器中的漏洞( CVE-2018-10088 )的 相關PoC 被公開。該產品被用於一些中國製造的智慧裝置之中(如 KKMoonDVRs )。一天之內,針對這些裝置的有記錄的掃描嘗試增至三倍。這一激增的罪魁禍首就是 Satori 木馬,其以之前針對 GPON路由器 的攻擊而聞名。
二、終端使用者面臨的新惡意軟體和威脅
DDoS攻擊
與以前一樣,物聯網惡意軟體的主要目的是進行 DDoS 攻擊。受感染的智慧裝置成為殭屍網路的一部分,根據相關命令攻擊一個指定的地址,耗盡該主機用於處理真實使用者請求的資源和能力。木馬家族 Mirai 及其變體(尤其是 Hajime )仍在部署此類攻擊。
這可能是對終端使用者危害最小的情況了。最壞情況(很少發生)也就是受感染裝置的擁有者被 ISP 拉黑。而且通常情況下簡單地重啟裝置就可以“治癒”該裝置。
加密貨幣挖掘
另一類有效荷載與加密貨幣有關。例如, IoT 惡意軟體可以在受感染裝置上安裝惡意礦工。但是鑑於智慧裝置的算力很低,這種攻擊的可行性還是一個疑問,即使它們的數量可能很大。
Satori 木馬的建立者發明了一種更為狡猾和可行的獲取加密貨幣的方法。他將受感染的 IoT 裝置作為訪問高效能運算機的一種鑰匙:
第一步,攻擊者首先試圖利用已知漏洞感染儘可能多的路由器,這些漏洞包括:
CVE-2014-8361 –Realtek SDK 的 miniigd SOAP 服務中的遠端程式碼執行漏洞
CVE 2017-17215 – 華為 HG532 系列路由器韌體中的遠端程式碼執行漏洞
CVE-2018-10561 , CVE-2018-10562 –Dasan GPON 路由器中的身份認證繞過漏洞和任意程式碼執行漏洞
CVE-2018-10088 –XiongMai uc-httpd 1.0.0 中的緩衝區溢位漏洞,該產品被用於部分中國製造的路由器和智慧裝置的韌體中
第二步,利用受感染的路由器和以太坊挖礦軟體 Claymore 的遠端管理工具中的漏洞 CVE-2018-1000049 ,將錢包地址替換成自己的。
資料竊取
在 2018 年 5 月檢測到的 VPNFilter 木馬則追求其它的目標。它首先攔截受感染裝置的流量,然後從中提取重要的資料(使用者名稱、密碼等)併發送到網路犯罪分子的伺服器。下面是 VPNFilter 的主要功能:
模組化架構。該惡意軟體的建立者可隨時新增新的功能。例如, 2018 年 6 月初檢測到一個用於向截獲的網頁注入 JavaScript 程式碼的新模組。
自啟動機制。該木馬將自己寫入標準 Linux 計劃任務程式 crontab ,還可以修改裝置的非易失性儲存器( NVRAM )中的配置設定。
使用 TOR 與 C&C 伺服器進行通訊。
能夠自毀並使裝置“變磚”。一旦接收到相關命令,該木馬就會自我刪除並用垃圾資料覆蓋韌體的關鍵部分,然後重啟裝置。
該木馬的傳播方法仍然未知:其程式碼中沒有包含自我傳播機制。無論如何,我們傾向於認為它通過利用裝置軟體中的已知漏洞來感染裝置。
第一份關於VPNFilter的報告 稱其感染了約 50 萬個裝置。從那時起,更多的裝置被感染了,並且易受攻擊的裝置廠商列表大大加長了。到六月中旬,其目標包括以下品牌的裝置:
ASUS D-Link Huawei Linksys MikroTik Netgear QNAP TP-Link Ubiquiti Upvel ZTE
由於這些廠商的裝置不僅在公司網路中使用,而且常被用作家用路由器,這使得情況變得更糟。
三、結論
智慧裝置正在崛起, 有人預測 稱 2020 年智慧裝置的數量將超過世界總人口數量的好幾倍。然而廠商們還是沒有重視裝置的安全性:在裝置初始化設定過程中,他們沒有提醒使用者去修改預設密碼;他們也沒有向用戶釋出關於新韌體版本的通知;甚至更新過程本身對普通使用者而言都顯得十分複雜。這使得物聯網裝置成為網路犯罪分子的主要攻擊目標,甚至比個人計算機更容易受到感染。物聯網裝置通常在家庭基礎設施中扮演了一個重要的角色:有些用於管理網路流量,有些用於拍攝監控視訊,還有一些用於控制家用裝置(如空調等)。
針對智慧裝置的惡意軟體不僅在數量上增長,而且在質量上也在增長。越來越多的 exploits (漏洞利用程式)被網路犯罪分子開發出來。而除了傳統的 DDoS 攻擊之外,被感染的裝置還被用於竊取個人資料和挖掘加密貨幣。
下面是一些可以幫助減少智慧裝置感染風險的小技巧:
除非絕對必要,否則禁止從外部網路訪問裝置;
定期重啟有助於清除已感染的惡意軟體(儘管大多數情況下還存在再次感染的風險);
定期檢查是否存在新版本的韌體並進行更新;
使用複雜密碼(長度至少為 8 位,包含大小寫字母、數字和特殊字元);
在初始設定時更改出廠密碼(即使裝置未提示您這樣做);
如果選項存在,則關閉 / 禁用不使用的埠。例如,如果您不打算通過 Telnet (佔用 TCP 埠 23 )連線到路由器,則最好禁用該埠以降低被入侵的風險。
原文連結: https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/
*本文作者:vitaminsecurity,轉載請註明來自FreeBuf.COM