物联网威胁分析协议篇
物联网威胁分析—协议篇
攻击源活跃情况
日志数据记录了所有利用 Telnet 协议的恶意行为以及相关的攻击源 IP 地址,每一个 IP 地址代表一 个攻击源。通过统计分析,我们共发现攻击源 118,527 个。图 4.1 为 7 个月以来攻击源的活跃情况。如 图所示,2019 年以来 Telnet 的利用情况逐月增加,8 月活跃的攻击源最多,数量高达 61,526 个,其中 弱口令探测行为有 53,347 个;另外,6 月样本下载的行为最多,高达 4,118 个。整体来看,后半年攻 击源的数量有所减少。
TCP 的情况,因 UDP存在反射攻击,源 IP 可被伪造,短时间内就有可能收到海量连接,所以不做统计。 3月 4月 5月 6月 7月 8月 9月 10月
所有攻击源
弱口令探测攻击源 样本下载攻击源 图 4.1 攻击源活跃情况
攻击源国家分布
从地理位置维度对攻击源进行分析,得到攻击源所在的国家 Top10,如图 4.2 所示,可见处于中国 和美国的攻击源最多。 越南 韩国 法国 印度
3% 3% 2% 俄罗斯 4% 埃及 4% 其他 巴西 美国 11% 中国 23% 图 4.2 攻击源国家 Top10 分布情况
攻击源开放端口分布
暴露在互联网上的大多数物联网设备都会开放 22,23 等常见端口对外提供服务,同时这也增大了它 们被攻击的风险。因此我们对攻击源的开放端口情况进行分析,图 4.3 展示了上文所述攻击源的端口分 布,攻击源开放的端口前十名为:22、80、23、443、21、53、554、8080、7547、3306。开放 22 端 口和 23 端口的攻击源占所有攻击源的 55%。由此可以推断,大部分攻击源极有可能都是被弱口令爆破 后的受控失陷主机。 攻击者数量 15000 13703 12517 图 4.3 攻击源开放端口 Top10
攻击源设备类型分布
通过与绿盟威胁情报中心(NTI)中的资产情报数据相关联,我们发现这些攻击源有 29% 为物联网 设备。如图 4.4 所示,主要设备类型是频监控设备和路由器,分别占比 47% 和 42%。由此可见, 频监控设备和路由器是最容易被攻击源入侵控制的物联网设备。 VoIP设备
路由器 5% 打印机 5% 其他 视频监控设备 1% 图 4.4 攻击源设备类型分布
攻击源爆破弱口令分析
弱口令 root-vizxv 曾被曝过可以直接登陆某安防监控设备后台,弱口令 root-t0talc0ntr0l4! 是 Control4 智能家居设备的默认凭证,弱口令 root-taZz@23495859 是 Mirai 变种“Asher”用来感染路由 器最常用的弱口令之一。因此我们对攻击源爆破时使用的弱口令进行统计分析,发现很多物联网设备都 是被爆破弱口令攻击后成为受控失陷主机的。如表 4.1 爆破弱口令 Top10 所示,除了一些常见的弱口令 外,上文提及到的物联网设备相关弱口令都名列前茅。 表 4.1 爆破弱口令 Top10 |排名|弱口令|使用次数|
利用协议的攻击行为分析
通过对大量利用 Telnet 协议的攻击源入侵时的攻击行为进行聚类,同时对与其相关的爆破弱口令列 表和恶意样本进行关联性分析,我们发现了一个面向门罗币挖矿的僵尸网络,该僵尸网络首先通过弱口 令爆破入侵主机,以植入 RSA公钥或僵尸程序的方式获取控制权限,然后使用下载器下载门罗币挖矿 病毒,并根据主机类型执行相应的脚本,最终实现恶意挖矿,将所控制的网络资源变现。 据不完全统计,该僵尸网络在 2019 年 7 月份最为活跃,所控制的肉鸡总数量上万台,单日最高活 跃肉鸡数接近 600 台,其中处于中国和美国的肉鸡数最多,分别为 2119 台和 1335 台,开放 22 端口 的肉鸡数有 6681 台,占比接近所有肉鸡的 65%。在已知的资产情报数据中,这些肉鸡有 12% 为物联网 设备,主要设备类型是路由器和摄像头。另外,该挖矿僵尸网络最常用的爆破弱口令是 nproc-nproc。 虽然目前从样本服务器上已经无法下载相关样本,但是该僵尸网络活动情况依然有小规模上升趋势。 该挖矿僵尸网络分析的完整版可参见《用区块链挣钱,黑产也这么想》47。 4.3 针对 WS-Discovery 协议的威胁分析 本节对 WS-Discovery 反射攻击进行了分析,关于 WS-Discovery 的介绍详见第一章。 观点 5: 自 2019 年 2 月被百度安全研究人员披露以来,下半年利用 WS-Discovery 协议进行反射 攻击的事件明显增多。我们捕获的反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速, 需要引起安全厂商、服务提供商、运营商等相关机构足够的重视。
暴露情况分析
为了精确刻画 WS-Discovery 反射攻击的情况,我们一方面对暴露在互联网上的 WS-Discovery 服务 进行了测绘 1,另一方面我们利用威胁捕获系统对其进行了监测。这两方面的数据将分别在接下来两节 进行介绍。 观察 6: 全球有约 91 万个 IP开放了 WS-Discovery 服务,存在被利用进行 DDoS 攻击的风险,其 中有约 73 万是视频监控设备,约占总量的 80%。
1 如无特殊说明,本节所提到的数据为全球单轮次测绘数据(2019 年 7 月),数据来自绿盟威胁情报中心(NTI)。 网络存储设备
打印机 4.5% 视频监控设备 不确定 5.2% 图 4.5 开放 WS-Discovery 服务的设备类型分布情况 图 4.6 是开放 WS-Discovery 服务的设备国家分布情况,从中可以看出,开放 WS-Discovery 服务的 设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。 意大利 法国 波兰 墨西哥 1% 2% 2% 2% 阿根廷 土耳其
2% 1% 罗马尼亚 俄罗斯 3% 其他 哥伦比亚 27% 3% 韩国 印度 8% 中国 5% 14% 美国 越南 巴西 图 4.6 开放 WS-Discovery 服务的设备国家分布情况 约有 24%的设备对于 WS-Discovery 的回复报文的源端口是 机性),这对基于源端口过滤的传统 DDoS 防护提出了新挑战。 A10 Networks 公司的一份 WS-Discovery 安全研究报告 口进行回复。在我们的验证数据中,约有 24% 的设备对于 3702 端口之外的其它端口(有一定随 48 提到,有约 46% 的设备会采用随机端 WS-Discovery 的回复报文的源端口并不是 3702 端口。更进一步,我们发现,并不是所有的其他端口都是随机的,也存在固定端口的情况(如 1024 端口)。 正因为存在随机回复端口的特点,WS-Discovery 反射攻击的缓解机制存在非常大的挑战。与其他反 射攻击缓解策略不同,简单地添加阻断源端口为 3702 规则并不能防护 WS-Discovery 反射攻击,亟待 研究其他有效的缓解机制。
反射攻击分析
本节,我们将对绿盟威胁捕获系统中的数据进行分析,研究当前 WS-Discovery 反射攻击相关的威 胁态势,数据来源于从 2019.7.10 至 2019.9.21 共 74 天的日志数据。下面我们将分别从攻击手法、攻 击事件、受害者三个维度进行分析。 4.3.2.1 攻击手法分析 下面,我们将从攻击载荷的长度入手来分析攻击者的攻击手法。在博客 49 中,我们还对攻击流量 的源端口的分布数量和受害者 IP 的网段分布进行了分析。 观察 7:攻击者在进行 WS-Discovery 反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷, 而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷,约占所有攻击 日志数量的三分之二。该载荷所造成的反射攻击的平均带宽放大因子为 443。 我们对 WS-Discovery 反射攻击日志数据中的报文载荷进行了统计,如图 4.7 所示,出于尽量不扩 散攻击报文的考虑,这里我们按照出现的报文的长度对其命名,比如,一个攻击报文的应用层长度为三 字节,则将其命名为 payload3。可以看到,前五种攻击载荷占了所有攻击数量的 99% 以上。我们还发 现这五种载荷都不是合法的服务发现报文,最短的载荷只有 2 个字节。出现最多的是一个三个字节的载 荷,约占所有攻击数量的三分之二。 图 4.7 蜜罐捕获的 WS-Discovery 反射攻击的 payload 占比情况 我们对 payload3 进行了全网探测,发现并非所有的 WS-Discovery 服务都对这样的载荷进行响应, 有回应的 IP 数量为 28918 个。 图 4.8 是对 payload3 有回应的设备的国家分布情况,从中可以看出,设备暴露数量最多的三个国 家依次是美国、韩国和中国。我们也对这些设备的类型进行了统计,以频监控设备和打印机为主,其 中视频监控设备占比为 75%。 我们对探测到的回复报文的长度进行了分析,其长度从几百到几千字节不等,平均长度为 1330 字节。 由此可得平均带宽放大因子(Bandwidth Amplification Factor,BAF)1 50 为 443。 波兰 意大利 法国 2% 3% 4%
德国 5% 俄罗斯 其他 6% 28% 越南 6% 美国 巴西 15% 中国 6% 韩国 12% 图 4.8 对 payload3 有回应的设备的国家分布情况
1 放大因子我们采用 NDSS 2014 的论文 Amplification Hell: Revisiting Network Protocols for DDoS Abuse 上对于带宽放大因子的定义, 不包含 UDP的报文头。 2. 攻击事件分析 我们对绿盟威胁捕获系统捕获的攻击事件进行了分析,如图 4.9 所示,这里我们将一天内一个独 立 IP 相关的事件看作一次攻击事件,攻击事件的数量我们将以天为单位进行呈现。直观来看,WS- Discovery 反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速。这说明 WS-Discovery 反 射攻击已经逐渐开始被攻击作为一种用于 DDoS 攻击的常规武器,需要引起相关如安全厂商、服务提供 商、运营商等机构足够的重视。 事件数量(个) 日期
攻击事件 图 4.9 WS-Discovery 反射攻击事件变化情况 3. 受害者分析 WS-Discovery 反射攻击的受害者国家分布情况如图 4.10 所示,我们观察到共有 24 个国家和地区受 到过攻击。从图中可以看出,中国是受害最严重的国家,其占全部受害者 IP的 33%;排在第二位的是美国, 占比为 21%。 加拿大
巴西 2% 其它 印度 13% 3% 中国 法国 33% 英国 6% 美国 德国 21% 菲律宾 图 4.10 WS-Discovery 反射攻击受害者的国家分布 4.4 针对 UPnP 协议的威胁分析 在去年的物联网安全年报中我们已经对 UPnP 协议进行了分析,今年我们对数据进行了更新,并加 入了一些新的发现,UPnP 相关基础知识可参见去年的物联网安全年报,本文不再赘述。 观点 6: 全球约 228 万台物联网设备开放了 UPnP SSDP 服务(1900 端口),存在被利用进行 DDoS 攻击的风险,设备总量较去年减少约 22%。约 39 万台物联网设备暴露的 UPnP 端口映射服务存 在被滥用的可能,可被用于做代理或将内网服务暴露在外网。
参考资料
绿盟 2019物联网安全年报
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。