近年来,随着互联网技术的快速发展以及国家政策的大力支持,物联网这一领域也跟着水涨船高,各项具有应用意义的项目也在不断拓展,比如智能家居,视频监控系统等,身处千里之外,却能知悉家中的一举一动,这也体现了“万物互联”的概念。其中,作为物联网的终端节点,比如智能路由器,视频监控器等设备,随着大众将目光逐步转移到物联网时,这些设备因自身的安全性问题也遭受到来自恶意攻击者的觊觎。
据悉,目前针对物联网设备的恶意软件越来越普遍了,基本每个月都会发现新的变种。而据分析,在过去的两年里,发现的所有物联网恶意软件基本都是同样的运作原理思路。一般来说,使用钓鱼方式或者自动化工具来进行暴力破解物联网设备,通过密码字典尝试批量猜解物联网设备的管理员账户及密码,来开始对设备的感染。
物联网僵尸扩张的源头:默认设备登录口令
当设备运行后,如果用户没有及时更改设备的默认登陆口令,攻击者往往可针对这些设备进行暴破,轻而易举便可进入到该设备的管理界面。此后,攻击者便可植入恶意代码到其中,并使之与C&C服务器通讯,将之融合到僵尸网络中。而这些僵尸网络主要用以发动DDoS攻击,或者作为代理,向其他物联网设备实施暴力破解。
在近年八月份,卡巴斯基发现基于Linux设备节点组成的网络,近年来在地下市场已逐步成为主流的DDoS攻击的僵尸网络。
在大部分案例中,物联网设备往往被集中起来,组成僵尸网络,从而发起DDoS攻击,仅仅在少数定向攻击的案例中,我们会发现某些攻击者,利用其中物联网中的某一设备,作为网络中的代理节点来进行攻击。
前文所呈现的入侵攻击,一方面,还是因为用户的安全意识较为薄弱,在使用物联网设备过程中,并没有对密码进行强化或者更改,导致攻击者可轻而易举地暴破访问设备。另一方面,也是因为相应的物联网终端设备存在安全漏洞,攻击者利用该漏洞来对设备进行控制,从而才可将对设备进行感染并融入到其僵尸网络中。而根据安全公司赛门铁克的全球统计,以下表单为目前物联网设备Top 10 的弱口令(其中账户和同一行的密码并不对应)。
如果针对我们自身使用的系统及设备如树莓派或者ubantu等,从目前的密码强度进行审计,是否也存在相应的弱口令呢?
根据来自赛门铁克的研究,近年的物联网恶意软件往往带有跨平台特性,能够有效针对所有的主流硬件平台进行攻击,如x86, ARM, MIPS以及 MIPSEL平台等。除了上述的部分,在某些案例中,也有一些恶意软件家族,主要针对其他平台或者架构的,如PowerPC, SuperH以及 SPARC架构的。
物联网恶意软件可自我进行复制
实际上,通过使用工具,像Shodan(具体还请参考《如何在15分钟内利用Shodan对企业进行安全审计?》以及《安全搜索引擎Shodan(搜蛋)命令行模式使用TIPS》),以及自动化暴破脚本,攻击者已经很少需要手工进行操作了,虽然偶尔可能会碰到需要手工操作的案例。而当前的物联网恶意软件甚至有了蠕虫的特性,即是可以传播给其他关联的设备,例如 Ubiquiti 蠕虫。
Ubiquiti ,其全称为优倍快网络公司,简称UBNT,我们可以发现其在前文物联网设备弱口令Top 10的排名中也是榜上有名的。该公司主要生产无线网络产品,包括像WiFi覆盖AP、点对点网桥、点对多点网桥、WiFi客户端(CPE)等。而Ubiquiti蠕虫,被发现于其AirOS路由器,主要可通过利用一个存在路由器login.cgi文件中的任意文件上传漏洞(详情请参看进行了解:https://hackerone.com/reports/73480),上传并执行恶意文件。在已知的案例中,攻击者创建了一种可自我复制的病毒,通过利用Ubiquiti产品的默认口令(账户为ubnt,密码为ubnt)登录路由器,而利用上述漏洞,蠕虫会在路由器上创建一个后门账户,并利用已有权限向其他设备进行复制传播。而该蠕虫病毒也被称为Ubiquiti蠕虫。
因自我复制的特性,物联网恶意软件可“帮助”攻击者建立起一个颇具规模的僵尸网络,据目前的统计,至少存在一百万个安全性极低的物联网设备向互联网开放其敏感端口。
感染物联网设备的主流恶意软件有哪些?
如前文所述,这些物联网设备组成的僵尸网络往往被利用来实施不同类型的DDoS攻击。如在近期,infosec记者报道了一次由物联网设备组成的网络发起的DDoS攻击,其最高峰流量可达620Gbps。
而作为感染设备的恶意软件,到目前,究竟有哪些类型或者种类呢?我们可以往下看看。
据安全公司赛门铁克分析统计,目前最为主流的物联网恶意软件家族如下,
Linux.Darlloz (aka Zollard), Linux.Aidra (Linux.Lightaidra) Linux.Xorddos (aka XOR.DDos) Linux.Gafgyt (aka GayFgt, Bashlite), Linux.Ballpit (aka LizardStresser) Linux.Moose, Linux.Dofloo (aka AES.DDoS, Mr. Black) Linux.Pinscan / Linux.Pinscan.B (aka PNScan) Linux.Kaiten / Linux.Kaiten.B (aka Tsunami) Linux.Routrem (aka Remainten, KTN-Remastered, KTN-RM) Linux.Wifatch (aka Ifwatch) Linux.LuaBot
物联网设备厂商缺乏足够的安全响应能力
根据统计的数据,缺乏安全性的物联网设备在全球范围内普遍存在。其中来自中国安全性较低的设备,约占设备总数量的34%,其次是美国,约占28%,接下来为俄罗斯,约占9%,详细如下图。
实际上,出现安全问题的设备往往来自于同一个公司的产品。比如:
此前有过报道的,关于发现将近25000个摄像头被感染为僵尸网络节点一事,正是由于国内一家生产硬盘录像机的厂商,未能及时发布升级固件,造成该公司生产的大量摄像头被入侵的情况。该公司的硬盘录像机被全球约70多家公司贴牌出售,而当时应该也是有很多用户并不能及时修复他们的设备,因为销售厂商他们也在等待这家位于中国的厂商发布的补丁,来修复漏洞。
结语
随着物联网的发展,特别是智能家居逐步深入到家庭的每个角落中,物联网设备的安全性已经与每个人,每个家庭紧紧挂钩。提高物联网设备的安全性以及设备厂商的安全响应能力已经是迫在眉睫。同时用户在日常使用设备的过程中,应提高安全意识以及培养良好的安全习惯,比如新装设备应及时更改并设置高强度密码,定期查看设备登录记录等,如有可能,也可关闭设备的敏感服务端口,尽可能降低设备被入侵风险。
作者:寰者
来源:51CTO
