物联网威胁新趋势

网络犯罪分子对物联网设备的兴趣持续增长:2018年上半年,卡巴斯基实验室收集到的攻击智能设备的恶意软件样本数量是2017年一整年的三倍。2017年的数量是2016年的十倍。

卡巴斯基实验室研究了网络犯罪分子攻击智能设备所用的攻击媒介,系统中加载了哪些恶意软件,以及新僵尸网络对设备所有者有什么影响。

物联网威胁新趋势

2016至2018年卡巴斯基实验室收集的物联网设备恶意软件样本数量

暴力破解Telnet密码仍然是最常见的物联网恶意软件自我传播方法。2018年第二季度,这种攻击方式是其它攻击方式的三倍。

物联网威胁新趋势

在物联网设备上下载恶意软件时,网络犯罪分子的首选方案是Mirai及其一系列变种(20.9%)。

物联网威胁新趋势

成功破解Telnet密码后,下载到物联网设备上的恶意软件前十位

以下是遭受Telnet密码攻击最严重的十个国家:

物联网威胁新趋势

在第二季度,巴西(23%)在受感染物联网设备数量方面处于领先地位,因此在Telnet攻击数量方面也处于领先地位。其次是中国(17%),有小幅上涨;第三名是日本(9%)。总体而言,从1月到7月,卡巴斯基实验室的Telnet蜜罐遭受了86560个不同IP地址发起的1200多万次攻击,并从27,693个不同IP地址下载了恶意软件。

由于一些智能设备所有者将默认的Telnet密码改为更复杂的密码,而且许多gadgets根本不支持此协议,所以网络犯罪分子一直在寻找新的攻击方式。病毒编写者之间的激烈竞争刺激了导致暴力破解Telnet密码攻击不那么有效:如果成功破解,设备密码会被更改,而且无法访问Telnet。

使用“替代技术”的一个例子是Reaper僵尸网络,其在2017年影响约200万台物联网设备。此僵尸网络利用已知的软件漏洞,而不是暴力破解Telnet密码:

D-Link 850L路由器固件中的漏洞

GoAhead IP摄像机的漏洞

MVPower闭路电视摄像机的漏洞

Netgear ReadyNAS监控中的漏洞

Vacron NVR中的漏洞

Netgear DGN设备中的漏洞

Linksys E1500 / E2500路由器中的漏洞

D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞

AVTech设备中的漏洞

这种方式比破解密码攻击方式好的地方在于:

速度更快

修补软件漏洞比修改密码或禁用/阻止服务要困难得多

尽管这种方法实施起来比较困难,但它受到许多病毒编写者的青睐,新的特洛伊木马也开始利用智能设备软件中的已知漏洞。

新攻击,旧软件

为了知道哪些漏洞是恶意软件的目标,卡巴斯基实验室分析了有关数据。这是2018年第二季度出现的情况:

物联网威胁新趋势

绝大多数攻击仍然来自Telnet和SSH密码强制攻击。第三种最常见的攻击针对SMB服务,它提供对文件的远程访问。目前还没有看到物联网恶意软件攻击这项服务。但是,它的某些版本包含严重的已知漏洞,例如EternalBlue(Windows)和EternalRed(Linux),这些漏洞可用来传播臭名昭著的木马勒索软件WannaCry和Monero矿工EternalMiner。

以下是2018年第二季度攻击我们的蜜罐的受感染物联网设备的细分:

物联网威胁新趋势

可以看出,在RouterOS运行的MikroTik设备最易受到攻击。原因似乎是Chimay-Red漏洞。有趣的是,蜜罐攻击者包括33个Miele(占攻击总数的0.68%)。很可能他们是通过PST10 WebServer中已知的CVE-2017-7240漏洞感染的,该漏洞存在于固件中。

7547 端口

7547端口上针对远程设备管理(TR-069规范)的攻击非常常见。根据Shodan的说法,这个端口上的设备超过4000万台。尽管最近这个漏洞导致了百万德国电信路由器受到感染,还曾帮助Mirai和Hajime系列恶意软件传播。

另一种攻击利用了在6.38.4以下版本的RouterOS下运行的MikroTik路由器中的Chimay-Red漏洞。2018年3月,这个漏洞促进了Hajime的传播。

IP 摄像机

IP摄像机也会受到攻击。2017年3月,在GoAhead设备的软件中发现了几个主要漏洞,有关信息发布一个月后,出现了利用这些漏洞的新版Gafgyt和Persirai特洛伊木马。这些恶意程序广泛传播一周后,受感染设备的数量攀升至57,000台。

2018年6月8日,XionMai uc-httpd Web服务器上的漏洞CVE-2018-10088发布,一些中国制造的智能设备(例如,KKMoon DVR)使用该服务器。第二天,使用此Web服务器查找设备的记录尝试次数增加了两倍多。激增的罪魁祸首是Satori Trojan,此前它以攻击GPON路由器而闻名。

新恶意软件以及对最终用户的威胁

DDoS 攻击

与以前一样,物联网恶意软件主要进行DDoS攻击。受感染的智能设备成为攻击特定地址的僵尸网络的一部分,主机正确处理来自真实用户的请求的能力丧失。来自Mirai系列及克隆它的特洛伊木马,特别是Hajime,仍在发动此类攻击。

这可能是对用户最不利的情况。最糟糕(也非常不可能)的情况是用户被互联网服务提供商阻止。并且该设备通常可以通过简单的重启来“治愈”。

加密货币挖矿

另一种攻击与加密货币相关联。例如,物联网恶意软件可以在受感染的设备上安装矿工。但鉴于智能设备的处理能力较低,这种攻击的可行性仍然存在疑问。

Satori Trojan的创建者发明了一种更可行的方法来获取加密货币,此时物联网设备充当一种打开电脑访问权限的密钥:

第一阶段,攻击者用已知漏洞感染尽可能多的路由器,特别是:

CVE-2014-8361 – Realtek SDK中miniigd SOAP服务中的RCE漏洞

CVE 2017-17215 – 华为HG532路由器固件中的RCE漏洞

CVE-2018-10561,CVE-2018-10562 – 在Dasan GPON路由器上执行任意命令

CVE-2018-10088 – 在一些中国制造商生产的某些路由器和其他智能设备的固件中使用的XiongMai uc-httpd 1.0.0版本中缓冲溢出

第二阶段,使用受损路由器和Claymore Etherium矿工远程管理工具中的CVE-2018-1000049漏洞,攻击者将钱包地址替换为自己的。

数据窃取

2018年5月检测到的VPNFilter特洛伊木马攻击目标不一样,首先是拦截受感染设备的流量,从中提取重要数据(用户名,密码等),并将其发送到网络犯罪分子的服务器。以下是VPNFilter的主要功能:

模块化架构。恶意软件创建者可以随时给它安装新功能。例如,2018年6月初,检测到一个新模块能够将javascript代码注入截获的网页。

抗重启。特洛伊木马将自身写入标准Linux crontab任务调度程序,还可以修改设备的非易失性存储器(NVRAM)中的配置设置。

使用TOR与C&C交流。

能够自毁并禁用该设备。收到命令后,特洛伊木马会自行删除,用垃圾数据覆盖固件的关键部分,然后重启设备。

特洛伊木马的传播方法仍然未知:其代码不包含自行传播机制。但是,卡巴斯基实验室倾向于认为它利用设备软件中的已知漏洞进行传播。

第一个VPNFilter报告称大约500,000台设备被感染。从那时起,受感染设备越来越多,易受攻击的gadgets制造商名单已大大扩展。截至6月中旬,它包括以下品牌:

华硕

D-Link

华为

Linksys

MikroTik

Netgear

QNAP

TP-Link

Ubiquiti

Upvel

中兴

由于这些制造商的设备不仅用于公司网络,还用作家用路由器,因此情况更糟。

结论

智能设备会越来越多,一些预测显示,到2020年,智能设备数量将超过世界人口数倍。然而,制造商却将安全性抛诸脑后:在初始设置期间没有提醒用户更改默认密码的通知,也没有有关新固件版本发布的通知,并且更新过程本身对于普通用户来说很复杂。这使得物联网设备成为网络犯罪分子的主要目标。它们比PC更容易感染,它们通常在家庭基础设施中发挥重要作用:一些管理互联网流量,另一些管理视频镜头,还有一些控制家用设备(例如,空调)。

针对智能设备的恶意软件不仅数量上在增加,其质量也越来越高。越来越多的漏洞被网络犯罪分子利用,受感染的设备被用来窃取个人数据、挖掘加密货币,而不仅仅是传统的DDoS攻击。

降低智能设备感染风险的小方法:

除非非常必要,否则不要用外部网络访问设备

定期重启有助于摆脱已安装的恶意软件(尽管在大多数情况下仍会再次感染)

定期检查固件新版本并更新设备

使用至少8个字符的复杂密码,包含大小写字母,数字和特殊字符

在初始设置时更改默认密码(即使设备没有提示您这样做)

如果可以,关闭不用的端口。例如,如果您没有通过Telnet(端口TCP:23)连接路由器,最好禁用它。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/113665.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code