【安全趋势】卡巴斯基2018上半年物联网威胁的新趋势

发布时间 2018-10-31

网络犯罪分子对物联网设备的兴趣一直在增长:在2018上半年,我们观察到的IoT恶意软件样本的数量是2017年全年的三倍。而2017年的数字则是2016年的10倍。这一趋势对于未来而言不容乐观。
因此在这里我们研究了以下三个问题:网络犯罪分子感染智能设备的攻击向量、哪些恶意软件被加载到用户的系统中以及最新的僵尸网络对设备所有者和受害者来说意味着什么。


2016年 – 2018年,卡巴斯基实验室收集到的IoT恶意软件样本的数量


最流行的攻击和感染向量仍然是针对Telnet密码的暴力破解攻击。在2018年第二季度,我们的蜜罐记录的此类攻击的数量是其它类型攻击数量总和的三倍还要多。


在将恶意软件下载到物联网设备上时,网络犯罪分子的首选项是Mirai家族(20.9%)。

成功破解Telnet密码后下载到IoT设备上的恶意软件Top10




以下是我们记录到的Telnet攻击最多的国家的Top 10:


2018年第二季度,受感染设备数量的地理分布


如图所示,2018年第二季度发起Telnet攻击的IP地址(唯一)数量最多的国家是巴西(23%),第二名是中国(17%)。俄罗斯排名第四(7%)。在整个2018年1月至7月期间,我们的Telnet蜜罐共记录到来自86560个IP地址(唯一)的超过1200万次攻击,并且从27693个IP地址(唯一)下载了恶意软件。
由于一些智能设备的所有者修改了默认的Telnet密码并使用复杂的密码,而许多小工具根本不支持这种协议,因此网络犯罪分子一直在寻找新的感染向量。这一情况还受到恶意软件开发者之间的竞争所推动(他们之间的竞争导致了暴力破解攻击效率越来越低):一旦成功破解了Telnet密码,攻击者就会更改设备的密码并阻止对Telnet的访问。

僵尸网络Reaper就是一个使用“替代技术”的很好的例子,它在2017年底感染了约200万个IoT设备。该僵尸网络并没有采用Telnet暴力破解攻击,而是利用已知的软件漏洞进行传播:


 D-Link 850L路由器固件中的漏洞
 GoAhead网络摄像机中的漏洞
 MVPower CCTV摄像机中的漏洞
 Netgear ReadyNASSurveillance中的漏洞
 Vacron NVR中的漏洞
 Netgear DGN设备中的漏洞
 Linksys E1500/E2500路由器中的漏洞
 D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞

 AVTech设备中的漏洞


与暴力破解相比,这种传播方法具有以下优点:


 能更快地感染设备

 对用户而言,打补丁远比修改密码或禁用服务要难得多


尽管这种方法的实施难度更高,许多恶意软件作者已经开始青睐这种方法。很快就会出现利用智能设备软件中的已知漏洞的新木马。
 

新的攻击,旧的恶意软件


为了观察恶意软件针对了哪些漏洞,我们分析了企图连接到我们蜜罐的不同端口的数据。下表是2018年第二季度的数据:



下表是2018年第二季度攻击我们蜜罐的受感染IoT设备的类型分布:绝大多数攻击仍然是针对Telnet和SSH密码的暴力破解攻击。第三大最常见的攻击是针对SMB服务(文件远程访问服务)的攻击。我们还没有观察到针对该服务的IoT恶意软件。无论如何,某些版本的SMB中包含严重的已知漏洞,如永恒之蓝(Windows)和永恒之红(Linux)。举个例子,臭名昭著的勒索软件WannaCry和门罗币矿工 EternalMiner就利用了这些漏洞。



我们可以看到,运行RouterOS的MikroTik设备在列表中一骑绝尘,其原因应该是Chimay-Red漏洞。
 

7547端口


针对7547端口上的远程设备管理服务(TR-069协议)的攻击十分常见。根据Shodan的查询结果,全世界有超过4000万台设备的这个端口是打开的。这还是在该漏洞最近导致约100万德国电信路由器被感染,更不用说用于分发恶意软件家族Mirai和Hajime之后。
另一类攻击则是利用了运行RouterOS版本6.38.4之下的MikroTik路由器中的漏洞Chimay-Red。在2018年3月,该攻击被积极用于分发Hajime。
 

网络摄像机


网络犯罪分子也没有忽视网络摄像机。2017年3月研究人员在GoAhead设备的软件中发现了几个严重的漏洞。在相关信息被披露的一个月后,利用这些漏洞的Gafgyt和Persirai木马新变体出现了。仅在一周内,这些恶意程序就积极感染了57000个设备。


2018年6月1日,XionMaiuc-httpd web服务器中的漏洞(CVE-2018-10088)的相关PoC被公开。该产品被用于一些中国制造的智能设备之中(如KKMoonDVRs)。一天之内,针对这些设备的有记录的扫描尝试增至三倍。这一激增的罪魁祸首就是Satori木马,其以之前针对GPON路由器的攻击而闻名。
 

终端用户面临的新恶意软件和威胁


DDoS攻击


与以前一样,物联网恶意软件的主要目的是进行DDoS攻击。受感染的智能设备成为僵尸网络的一部分,根据相关命令攻击一个指定的地址,耗尽该主机用于处理真实用户请求的资源和能力。木马家族Mirai及其变体(尤其是Hajime)仍在部署此类攻击。


这可能是对终端用户危害最小的情况了。最坏情况(很少发生)也就是受感染设备的拥有者被ISP拉黑。而且通常情况下简单地重启设备就可以“治愈”该设备。

 

加密货币挖掘


另一类有效荷载与加密货币有关。例如,IoT恶意软件可以在受感染设备上安装恶意矿工。但是鉴于智能设备的算力很低,这种攻击的可行性还是一个疑问,即使它们的数量可能很大。

Satori木马的创建者发明了一种更为狡猾和可行的获取加密货币的方法。他将受感染的IoT设备作为访问高性能计算机的一种钥匙:


        第一步,攻击者首先试图利用已知漏洞感染尽可能多的路由器,这些漏洞包括:


     CVE-2014-8361 –Realtek SDK的miniigd SOAP服务中的远程代码执行漏洞
     CVE 2017-17215 –华为HG532系列路由器固件中的远程代码执行漏洞
     CVE-2018-10561, CVE-2018-10562 –Dasan GPON路由器中的身份认证绕过漏洞和任意代码执行漏洞

     CVE-2018-10088 –XiongMai uc-httpd 1.0.0中的缓冲区溢出漏洞,该产品被用于部分中国制造的路由器和智能设备的固件中


        第二步,利用受感染的路由器和以太坊挖矿软件Claymore的远程管理工具中的漏洞CVE-2018-1000049,将钱包地址替换成自己的。
 

数据窃取


在2018年5月检测到的VPNFilter木马则追求其它的目标。它首先拦截受感染设备的流量,然后从中提取重要的数据(用户名、密码等)并发送到网络犯罪分子的服务器。下面是VPNFilter的主要功能:


       模块化架构。该恶意软件的创建者可随时添加新的功能。例如,2018年6月初检测到一个用于向截获的网页注入JavaScript代码的新模块。
        自启动机制。该木马将自己写入标准Linux计划任务程序crontab,还可以修改设备的非易失性存储器(NVRAM)中的配置设置。
        使用TOR与C&C服务器进行通信。
       能够自毁并使设备“变砖”。一旦接收到相关命令,该木马就会自我删除并用垃圾数据覆盖固件的关键部分,然后重启设备。
该木马的传播方法仍然未知:其代码中没有包含自我传播机制。无论如何,我们倾向于认为它通过利用设备软件中的已知漏洞来感染设备。
第一份关于VPNFilter的报告称其感染了约50万个设备。从那时起,更多的设备被感染了,并且易受攻击的设备厂商列表大大加长了。到六月中旬,其目标包括以下品牌的设备:


        ASUS

       D-Link
        Huawei
        Linksys
        MikroTik
       Netgear
        QNAP
       TP-Link
        Ubiquiti
        Upvel
        ZTE
由于这些厂商的设备不仅在公司网络中使用,而且常被用作家用路由器,这使得情况变得更糟。
 

结论


智能设备正在崛起,有人预测称2020年智能设备的数量将超过世界总人口数量的好几倍。然而厂商们还是没有重视设备的安全性:在设备初始化设置过程中,他们没有提醒用户去修改默认密码;他们也没有向用户发布关于新固件版本的通知;甚至更新过程本身对普通用户而言都显得十分复杂。这使得物联网设备成为网络犯罪分子的主要攻击目标,甚至比个人计算机更容易受到感染。物联网设备通常在家庭基础设施中扮演了一个重要的角色:有些用于管理网络流量,有些用于拍摄监控视频,还有一些用于控制家用设备(如空调等)。
针对智能设备的恶意软件不仅在数量上增长,而且在质量上也在增长。越来越多的exploits(漏洞利用程序)被网络犯罪分子开发出来。而除了传统的DDoS攻击之外,被感染的设备还被用于窃取个人数据和挖掘加密货币。

下面是一些可以帮助减少智能设备感染风险的小技巧:


      除非绝对必要,否则禁止从外部网络访问设备
      定期重启有助于清除已感染的恶意软件(尽管大多数情况下还存在再次感染的风险)
      定期检查是否存在新版本的固件并进行更新
      使用复杂密码(长度至少为8位,包含大小写字母、数字和特殊字符)
      在初始设置时更改出厂密码(即使设备未提示您这样做)
      如果存在该选项,则关闭/禁用不使用的端口。例如,如果您不打算通过Telnet(占用TCP端口23)连接到路由器,则最好禁用该端口以降低被入侵的风险。


原文链接:https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/