据调查,网络罪犯对物联网设备的兴趣持续增长:在2018年上半年,攻击智能设备的恶意软件样本数量是2017年全年的三倍。而在2017年,这个数字是2016年的十倍。这对未来几年来说并不是个好兆头。
这篇短文将对物联网设备的感染媒介及其危害进行简短分析。
某安全实验室收集物联网设备的恶意软件样本数量,2016-2018
暴力破解Telnet密码仍然是针对物联网设备最普遍的攻击方式之一。在2018年第二季度,针对我们的蜜罐攻击数量是所有其他类型总和的三倍。
当需要将恶意软件下载到物联网设备上时,网络罪犯的首选是Mirai家族(20.9%)。
下载到被感染IoT设备上的恶意软件前10名(Telnet密码成功破解后)
被感染设备的地域分布,2018年Q2
如图所见,在2018年第二季度,发起Telnet密码攻击的IP地址数最多的国家是巴西(23%),第二名是中国(17%),俄罗斯排在第四位(7%)。总的来说,从1月1日到2018年7月,我们的Telnet蜜罐在866560个IP地址注册了超过1200万次,从27,693个IP地址下载了恶意软件。
由于一些智能设备所有者将默认的Telnet密码更改为更复杂的密码,而且许多设备根本不支持该协议,网络罪犯一直在寻找新的感染途径。因为病毒编写者之间的激烈竞争,导致密码暴力破解攻击变得越来越低效:一旦成功破解,设备密码将被更改,Telnet的访问将被阻止。
除了密码暴力破解攻击,使用替代技术的一个例子是“收割者僵尸网络”(Reaper botnet),在2017年底其囊括了约200万台物联网设备。
这个僵尸网络利用了已知的软件漏洞:
· Vulnerabilities in D-Link 850L router firmware
· Vulnerabilities in GoAhead IP cameras
· Vulnerabilities in MVPower CCTV cameras
· Vulnerability in Netgear ReadyNAS Surveillance
· Vulnerability in Vacron NVR
· Vulnerability in Netgear DGN devices
· Vulnerabilities in Linksys E1500/E2500 routers
· Vulnerabilities in D-Link DIR-600 and DIR 300 – HW rev B1 routers
· Vulnerabilities in AVTech devices
这种分发方法相对于密码破解的优势如下:
· 感染发生得更快。
· 修补软件漏洞比更改密码或禁用/阻止服务要难得多。
尽管这种方法更难实现,但它得到了许多病毒编写者的青睐,不久就出现了利用智能设备软件中已知漏洞的新木马来发起攻击的现象。
源自已知恶意软件的新攻击
为了解哪些漏洞是被恶意软件攻击的目标,我们分析了试图连接到陷阱上不同端口的数据。这是2018年第二季度的图片:
绝大多数攻击仍然来自Telnet和SSH密码暴力破解。第三个最常见的攻击是针对SMB服务的攻击,该服务支持对文件的远程访问。虽然我们还没有看到物联网恶意软件攻击这个服务。但是,它有几个版本包含一些已知的严重漏洞,比如EternalBlue (Windows)和EternalRed (Linux),这些漏洞被用来分发臭名昭著的WannaCry和Monero cryptocurrency 挖矿软件 EternalMiner。
以下是可能被感染的物联网设备名单,这些设备在2018年第二季度对我们的蜜罐进行了攻击:
可以看到,在RouterOS下运行的MikroTik设备遥遥领先。原因可能是Chimay-Red脆弱性。
端口7547
对端口7547上的远程设备管理(TR-069规范)的攻击非常常见。据专家分析,这个端口开放给世界上超过4000万的设备。最近德国电信的100万个路由器由此受到了攻击,更不用说帮助传播Mirai和Hajime恶意软件家族了。
另一种攻击利用了MikroTik路由器在低于6.38.4的RouterOS版本下运行时的Chimay-Red漏洞。在2018年3月,它在分发Hajime时发挥了很大作用。
IP摄像机
网络犯罪雷达上也有IP摄像头。在2017年3月,GoAhead设备的软件检测到几个主要的漏洞,在相关信息发布一个月后,出现了利用这些漏洞的Gafgyt和Persirai木马的新版本。仅在这些恶意程序被广泛传播一周后,受感染的设备数量就攀升至5.7万台。
2018年6月8日,关于XionMai uc-httpd web服务器CVE-2018-10088漏洞的说明发布了——该漏洞用于一些中国制造的智能设备(例如KKMoon DVRs)。第二天,使用这个web服务器定位设备的日志记录次数增加了两倍多。造成这种激增现象的罪魁祸首是Satori木马,它以前以攻击GPON路由器而闻名。
针对终端用户的新恶意软件和威胁
DDoS攻击
一如既往地,IoT恶意软件部署的主要目的是实施DDoS攻击。受感染的智能设备成为僵尸网络的一部分,僵尸网络通过命令攻击特定地址,剥夺了主机正确处理来自真实用户的请求的能力。Mirai家族、Hajime家族仍在使用这种攻击。
对这些被感染设备的主人来说发生的最糟(也是最不可能出现的)情况就是被他们的网络服务提供商给屏蔽掉,而重启这些设备就能“治百病”。
Cryptocurrency挖矿
另一种攻击案例与加密货币相关联。例如,物联网恶意软件可以在受感染的设备上安装挖矿软件。但考虑到智能设备的低处理能力,这种攻击的可行性仍存在疑问。
一种更狡猾、更可行的获取加密货币的方法是由Satori Trojan发明的。在这里,受害者物联网设备充当了一种打开高性能PC大门的钥匙:
最开始,攻击者尝试使用已知漏洞感染尽可能多的路由器,特别是这些漏洞:
△CVE-2014-8361 - Realtek SDK中miniigd SOAP服务中的远程代码执行漏洞。
△CVE 2017-17215 - 华为HG532路由器固件中的远程代码执行漏洞。
△CVE-2018-10561,CVE-2018-10562 - 授权绕过并在Dasan GPON路由器上执行任意命令的漏洞。
△CVE-2018-10088 - 在一些中国制造商生产的某些路由器和其他智能设备的固件中使用的XiongMai uc-httpd 1.0.0中的缓冲区溢出漏洞。
通过使用损坏的路由器和Claymore Etherium矿商远程管理工具中的CVE-2018-1000049漏洞,他们将钱包地址替换为自己的地址。
数据失窃
2018年5月检测到的VPNFilter Trojan攻击目的有点不太一样,它主要是拦截受感染设备的通信,从其中提取重要数据(用户名、密码等),并将其发送到网络罪犯的服务器。以下是VPNFilter的主要特点:
→模块化的体系结构。恶意软件的创造者可以在运行中为它安装新的功能。例如,将javascript代码注入被截获的web页面。
→防重新启动。木马会把自己写入标准的Linux crontab作业调度器,还可以修改设备NVRAM中的配置设置。
→使用TOR与C&C进行通信。
→能够自毁和禁用设备。在收到命令后,木马会删除自己,用垃圾数据覆盖固件的关键部分,然后重新启动设备。
→木马的分发方法仍然未知——它的代码不包含自传播机制。然而,我们倾向于认为它利用设备软件中已知的漏洞进行感染。
VPNFilter的第一份报告提到了大约50万个受感染的设备。自那以后,更多受感染电子产品出现了,数量也大大增加。
截至6月中旬,受感染设备名单包括以下品牌:
· ASUS
· D-Link
· Huawei
· Linksys
· MikroTik
· Netgear
· QNAP
· TP-Link
· Ubiquiti
· Upvel
· ZTE
比较糟糕的是,这些制造商的设备不仅被用于企业网络,还经常被用作家庭路由器。
结论
智能设备正在崛起,一些预测显示,到2020年,智能设备的数量将比世界人口多几倍。然而,制造商仍然没有优先考虑安全性——在初始设置期间没有更改默认密码的提醒,也没有关于新固件版本发布的通知,而更新过程本身对于普通用户来说可能很复杂。这使得物联网设备成为网络罪犯的首要目标。它们比个人电脑更容易感染,在家庭基础设施中经常扮演重要角色——一些截取互联网流量,另一些盗摄视频,还有一些控制家庭设备(例如空调)。
针对智能设备的恶意软件不仅数量在增加,版本也在升级。在传统的DDoS攻击之外,越来越多的攻击被网络罪犯武器化,被感染的设备被用来窃取个人数据和挖掘加密货币。
以下是一些简单的技巧,可以帮助您将智能设备感染的风险降至最低:
△除非绝对必要,否则不要从外部网络访问设备。
△定期重新启动将有助于消除已经安装的恶意软件(尽管在大多数情况下,重新感染的风险仍然存在)。
△定期检查新的固件版本并更新设备。
△使用至少8个字符长的复杂密码,包括大小写字母、数字和特殊字符。
△在初始设置时更改出厂密码(即使设备没有提示您这样做)。
△关闭未使用的端口,如果有这样的选项。例如,如果您没有通过Telnet(端口TCP:23)连接到路由器,那么禁用它是一个好主意,以便关闭一个潜在的入侵者漏洞。
*参考来源:Kaspersky Lab,青松 编译,转载请注明来自Qssec.COM。