2018年,是IoT高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网。随着 5G 网络的发展,我们身边的IoT设备会越来越多。与此同时,IoT的安全问题也慢慢显露出来。
腾讯安全云鼎实验室对IoT安全进行了长期关注,本文通过云鼎实验室听风威胁感知平台[注1]收集的IoT安全情报进行分析,从IoT的发展现状、IoT攻击的常见设备、IoT攻击的主要地区和IoT恶意软件的传播方式等方面进行介绍。
一、IoT的发展现状
图片来自网络
近几年IoT设备数量飞速增长, 2018年一共有70亿台IoT设备,每年保持20%左右的速度增长,到2020年预计IoT设备可达99亿台。
图▽ 全球IoT设备增长趋势
数据来源:State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating
随着IoT设备的普及,IoT安全问题越来越多。根据卡巴斯基IoT安全报告New trends in the world of IoT threats,近年来捕获到的IoT恶意样本数量呈现爆炸式的增长,从侧面反映了IoT安全问题越来越严峻。
图▽ IoT恶意样本数量
数据来源:卡巴斯基New trends in the world of IoT threats
二、IoT攻击常见设备与“黑客武器库”
现实生活中哪些IoT设备最容易被攻击呢?这是我们在做研究时第一时间考虑的问题。
被攻击后的设备,通常会进入黑客的武器库。黑客通常通过设备弱口令或者远程命令执行漏洞对IoT设备进行攻击,攻击者通过蠕虫感染或者自主的批量攻击来控制批量目标设备,构建僵尸网络,IoT设备成为了黑客最新热爱的武器。
图▽ IoT最常被攻击的设备类型
数据来源:腾讯安全云鼎实验室
云鼎实验室听风威胁感知平台统计数据显示,路由器、摄像头和智能电视是被攻击频率最高的三款IoT设备,占比分别为45.47%、20.71%和7.61%,实际中,摄像头的比例会更高,本次统计数据未包含全部摄像头弱口令攻击数据。
智能电视存在的安全隐患是ADB远程通过5555端口的调试问题,电视存在被root、被植入木马的风险,本次不做过多介绍。下文中会重点讨论路由器和摄像头的安全问题。
(1)最受黑客欢迎的设备:路由器
据统计,路由器(多数为家庭路由器)在IoT设备中的攻击量占比将近一半。大量恶意攻击者利用主流的品牌路由器漏洞传播恶意软件,构建僵尸网络。
以下为最常被攻击的路由器品牌占比统计:
图▽ 最常被攻击路由器统计
数据来源:腾讯安全云鼎实验室
从统计数据中可以看到,被攻击的路由器多为家庭路由器,通常市场保有量特别巨大,一旦爆出漏洞,影响范围较广。
例如:某公司HG532系列路由器在2017年11月爆出了一个远程命令执行漏洞,而该系列路由器数量巨大,针对该系列路由器的攻击和蠕虫利用非常多,攻击占比高达40.99%。其次是 *_Link系列路由器,*_Link系列路由器爆出过多个远程命令执行漏洞,因此也广受恶意攻击者欢迎。
以下为恶意攻击者利用较多的漏洞列表:
常用端口 | 漏洞 |
---|---|
37215 | 某公司HG532系列路由器远程命令执行漏洞(CVE-2017-17215) |
49152 | 多个*_Link产品UPnP SOAP接口多个命令注入漏洞 |
80/8080 | *_Link DIR-600和DIR-300中的多个漏洞 |
52869 | *ealtek SDK的miniigd SOAP服务中的远程代码执行漏洞(CVE-2014-8361) |
80/8080 | *inksys多款路由器tmUnblock.cgi ttcp_ip参数远程命令执行漏洞(CNVD-2014-01260) |
80/8080 | 某公司GPON光纤路由器命令执行漏洞(CVE-2018-10561/62) |
8080 | *etGear DGN设备远程任意命令执行漏洞 |
53413 | *etcore(*etis)路由器53413/UDP后门服务漏洞 |
7547 | *IR D1000无线路由器WAN端远程命令注入 |
(2)经久不衰的攻击:视频摄像头
2016年10月份,黑客通过操纵Mirai感染大量摄像头和其他设备,形成了庞大的僵尸网络,对域名提供商DYN进行DDoS攻击,导致了大面积网络中断,其中Amazon、Spotify、Twitter等知名网络均受到影响。Mirai僵尸网络也成为了IoT安全的标志性事件。
针对摄像头的攻击主要是两种方式,一是弱口令,二是漏洞利用。
A.摄像头弱口令
密码破解是摄像头最常用的攻击方式,一般利用厂家的默认密码。
以下为部分厂家摄像头的最常使用的十大默认用户名/密码:
十大默认用户名/密码 | |
---|---|
admin/admin | Admin/1234 |
admin/1234 | admin/123456 |
admin/<无密码> | admin/password |
admin/12345 | root/pass |
root/<无密码> | root/camera |
B.摄像头漏洞
EXPLOIT DATABASE收录了120多个摄像头漏洞,如下为搜索到的部分品牌摄像头漏洞:
三、IoT攻击源统计
(1)欧美—IoT恶意代码控制服务器的家乡
云鼎实验室针对恶意代码控制服务器进行了统计,筛选出了IoT恶意代码控制服务器所在国Top 10,位于国外的IoT恶意代码控制服务器占比达到94.72%,中国仅占5.28%,IoT恶意代码控制服务器大量分布在美国和欧洲。
图▽ IoT恶意代码控制服务器国家分布Top10
数据来源:腾讯安全云鼎实验室
(2)中国成IoT攻击活动最频发的国家
图▽ IoT攻击源国家分布Top10
数据来源:腾讯安全云鼎实验室
备注:数据来源于听风蜜罐系统,存在数据的缺失和遗漏的情况,本文只是大致统计趋势和比例,一些国家的数据可能会缺失。
中国是全球IoT攻击最多的国家,同时也是IoT攻击最大的受害国。由于中国拥有较多的IoT设备,很多设备存在漏洞和弱口令,因此设备被恶意软件感染的数量也较为巨大,设备相互攻击感染的问题较为严重。
国内IoT安全问题:
对于国内的IoT安全问题,我们统计了国内Top10攻击源省份:
图▽ IoT攻击源中国省份Top10
数据来源:腾讯安全云鼎实验室
IoT攻击源最多的五个省份是 江苏、广东、台湾、北京和浙江,IoT的攻击源分布与GDP有一定的关联性。经济发达的地区IoT设备更多、相关黑产也更加发达,也就成为了重点的IoT攻击源。
长三角和珠三角是我国经济最发荣的地区,同时也是IoT攻击最泛滥的地区。下面是云鼎实验室对江苏省和广东省的IoT 攻击源分布的统计情况。
江苏省IoT攻击情况如下:
图▽ IoT攻击源江苏省各地区分布
数据来源:腾讯安全云鼎实验室
其中苏州、扬州等长三角城市IoT攻击较多,这与经济发展情况有一定的关联。长三角各城市经济发达,街边各个商店的摄像头(个人安装)、路由器普及率非常高。设备多、设备漏洞多、缺乏有效的管理,导致设备被利用,从而成为较大的一个攻击源。
广东省IoT攻击情况如下:
图▽ IoT攻击源广东省各地区分布
数据来源:腾讯安全云鼎实验室
广东省的情况是类似的,IoT攻击活跃在经济发达地区,珠江三角洲最为活跃的两个城市分别是深圳和广州。 深圳作为科技创新城市,大批量IoT设备在深圳生产,同时IoT设备被大批量普及,IoT漏洞普遍存在,深圳也不乏相关的黑产团伙,从而IoT设备的安全问题也是很严重的。
四、IoT恶意软件传播统计
(1)DDoS依然是IoT恶意软件的主流功能
因IoT设备近几年的几何级数的增长,已接近百亿量级,但众多不同设备,往往却可以被同一恶意代码家族感染,这些家族主要的功能以DDoS居多。
下图是IoT设备在DDoS上如此受黑客青睐的四个主要原因。
☞ 几何级数暴增
IoT设备的暴增为DDoS的成长提供了温床。为了利于远程管理,IoT设备普遍暴露在互联网中,为承载DDoS功能的恶意样本进行扫描和传播提供了便利。同时各IoT厂家良莠不齐的技术基础,导致各IoT设备自身的系统与应用暴露出各种漏洞以被攻击者恶意利用。
☞ 跨多平台传播
承载DDoS攻击的家族,往往用一套标准代码,以各种IoT设备的弱口令、系统/应用漏洞的嵌入为基础,然后在mips、arm、x86等各种不同的平台环境编译器下进行编译,最终达到一个家族跨多个平台、互相感染传播的目的,使传播更迅速。
☞ TB级流量攻击
IoT设备数据庞大、安全性差、多数暴露外网,在跨多平台家族样本面前便不堪一击。往往选好传播弱口令与漏洞,从IoT僵尸网络搭建到数量达到一定规模,往往几天的时间便可完成。因为肉鸡被抓取后便成为了一个新的扫描源,如此反复便是一个成倍递增的扫描能力。而事实证明,十万量级的僵尸网络便可以打出TB级的攻击流量。
☞ 慢速CC攻击
因CC攻击是建立在TCP三次握手之上,所以以发包机形式进行攻击能力较弱,这也是肉鸡在DDoS上的一个不可替代的功能。IoT肉鸡正是此攻击较好的攻击载体,如此大量的肉鸡群,再辅以慢速CC攻击方式,DDoS防御设备较难以数量统计阈值等方法进行检测。
(2)超过8成恶意软件具备自我传播功能
通过分析,发现近8成恶意软件具有自我传播的功能模块,说明攻击者更倾向于通过蠕虫的方式构建僵尸网络。
对于攻击者来说,传播IoT恶意软件有两种方式:
A.利用服务器进行集中式扫描攻击,并向IoT设备植入恶意软件
由于服务器的硬件配置较高,能够同时发起大量扫描攻击,且攻击者可以随时添加新的扫描攻击模块。对于攻击者来说,这种方式更加灵活可控。
B.通过蠕虫传播攻击
每个被恶意软件感染的设备都会主动扫描其他设备并进行攻击。可以快速让僵尸网络指数级的增长。
(3)弱口令传播方式依旧盛行,Telnet/SSH是主要传播途径
弱口令攻击是IoT恶意软件的传播方式之一,最流行的传播途径是Telnet,其次是SSH。
下面列举一些恶意样本中出现的特定设备帐号和弱密码:
设备 | 帐号 | 密码 |
---|---|---|
某公司E-140W-P光猫 | telnetadmin | telnet*** |
某公司HGU421v3光猫 | e8telnet | e8te*** |
某公司E8C光猫 | e8ehome | e8e*** |
某公司宽带 | telecomadmin | nE7j*** |
某公司光猫 | root | Zte*** |
某公司摄像头 | root | vi*** |
某公司DVR | admin | xc3*** |
某公司光猫 | root | hg*** |
2016年Mirai事件爆发后,IoT设备的弱口令问题得到广泛关注,一些设备使用者修改了默认密码,提高了设备安全性。
(4)IoT漏洞传播成为恶意软件主流的传播方式
IoT 厂商的防御意识逐渐增强,弱口令传播方式效果逐渐减弱,攻击者开始使用漏洞进行恶意软件的植入。
由于IoT设备固件更新慢、IoT厂商对漏洞不重视、IoT设备用户对漏洞不重视这三个原因导致市面上存在大量的有漏洞IoT设备。 这些设备会长期在线,即使用户设备被感染,用户也没有什么感知。 这也是IoT僵尸网络与传统PC僵尸网络的区别---更大数量、更易获得、更加稳定。
这里以IoT恶意软件Linux.Omni为例,该恶意软件使用了11种不同的漏洞,包括常用的路由器与摄像头漏洞,红色字体为最多利用的漏洞。
漏洞 | 影响设备 |
---|---|
*asan GPON路由器 | |
CVE-2014-8361 | 使用带有miniigd守护程序的 *ealtek SDK的不同设备 |
*etGear setup.cgi未经身份验证的RCE | *etGear DGN1000路由器 |
CVE-2017-17215 | 某公司 HG532 |
*IR WAN侧远程命令注入 | *IR D1000路由器 |
HNAP SoapAction-Header命令执行 | *_Link设备 |
CCTV/DVR远程执行代码 | 来自70多家供应商的闭路电视,DVR |
JAWS Webserver未经身份验证的shell命令执行 | *VPower DVR等 |
UPnP SOAP TelnetD命令执行 | *_Link设备 |
*etGear cgi-bin命令注入 | *etGear R7000/R6400设备 |
*acron NVR RCE | *acron NVR设备 |
五、总结
未来随着IoT和5G通讯的发展,IoT设备的数量将会呈现爆发式增长,针对IoT设备的安全事件也将呈现同样的趋势。
(1)未来IoT安全趋势
1.针对IoT设备的攻击量将远远超过其他攻击目标,IoT设备成为网络攻击的最大受害者。
2.通过IoT设备发起的攻击将打破传统安全的防御形式,迫使安全厂商思考新的防御思路。(例如:Mirai发起的DDoS攻击)
3.被攻击IoT的设备将呈现多样化,不再局限于路由器、摄像头、打印机等设备,更多的IoT设备如智能空调、自动售货机、可穿戴设备将会成为被攻击目标。
4.IoT设备将成为恶意挖矿软件和勒索软件的下一个目标,医院、ATM、工控、电力等将成为主要的重灾区。
5.IoT的攻击将越来越专业化,将出现越来越多的政治目的的攻击。
这些趋势将使IoT安全形式更加严峻,不仅仅关系到企业安全,也关系到每一个家庭,每一个人,IoT安全将成为国家网络空间安全战略极其重要的一部分。
(2)防护建议
A.对于个人用户
下面是一些减小IoT设备感染风险的建议:
初始设置时更改设备默认密码,修改为复杂密码;
定期检查是否有固件的新版本发布并更新固件版本;
如无绝对必要,不要将IoT设备端口向互联网开放。
B.对于IoT厂商
下面对于IoT的安全性进行一些建议:
安全启动: 每次启动时,有必要通过证书来验证全部有效执启动程序。
及时跟新补丁和固件:在漏洞出现时,及时跟新补丁,以免造成重大影响。
数据中心安全:设备和云端的数据交互,要保证云端数据和服务的安全。建议使用腾讯云作为云端支撑。
数据安全:无论是通讯中,还是在设备内部存储上看,数据安全性是通过加密来保障的。
加密密钥管理:使用动态密码,不使用固化的静态密码。,默认密码导致的弱密码都是可入侵的漏洞。
注1:听风威胁感知平台是云鼎实验室在全球多个节点部署的蜜罐网络集群,用于捕获真实的恶意流量,每天捕获数亿次的各类攻击请求。
参考链接:
http://blog.nsfocus.net/IoT-security-webcam/
http://www.123anfang.com/ip-camera-default-account-password-list.html
https://www.secpulse.com/archives/5852.html
https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/
http://blog.nsfocus.net/wp-content/uploads/2017/06/Mirai代码及原理分析.pdf
https://blog.apnic.net/2017/03/21/questions-answered-mirai-botnet/
https://mobidev.biz/blog/IoT-trends-for-business-2018-and-beyond
https://iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/
*本文作者:云鼎实验室,转载请注明来自FreeBuf.COM