卡巴斯基：2018上半年物聯網威脅新趨勢

科技 10-04

原標題：卡巴斯基：2018上半年物聯網威脅新趨勢

前言

網路犯罪分子對物聯網設備的興趣一直在增長：在 2018 上半年，我們觀察到的 IoT 惡意軟體樣本的數量是 2017 年全年的三倍。而 2017 年的數字則是 2016 年的 10 倍。這一趨勢對於未來而言不容樂觀。

因此在這裡我們研究了以下三個問題：

網路犯罪分子感染智能設備的攻擊向量；

哪些惡意軟體被載入到用戶的系統中；

最新的殭屍網路對設備所有者和受害者來說意味著什麼。

2016 年 – 2018 年，卡巴斯基實驗室收集到的 IoT 惡意軟體樣本的數量

最流行的攻擊和感染向量仍然是針對 Telnet 密碼的暴力破解攻擊。在 2018 年第二季度，我們的蜜罐記錄的此類攻擊的數量是其它類型攻擊數量總和的三倍還要多。

目標服務在所有攻擊中的百分比%Telnet75.40%SSH11.59%其它13.01%

在將惡意軟體下載到物聯網設備上時，網路犯罪分子的首選項是Mirai家族（ 20.9% ）。

#下載的惡意軟體在所有攻擊中的百分比%1Backdoor.Linux.Mirai.c15.97%2Trojan-Downloader.Linux.Hajime.a5.89%3Trojan-Downloader.Linux.NyaDrop.b3.34%4Backdoor.Linux.Mirai.b2.72%5Backdoor.Linux.Mirai.ba1.94%6Trojan-Downloader.Shell.Agent.p0.38%7Trojan-Downloader.Shell.Agent.as0.27%8Backdoor.Linux.Mirai.n0.27%9Backdoor.Linux.Gafgyt.ba0.24%10Backdoor.Linux.Gafgyt.af0.20%

成功破解 Telnet 密碼後下載到 IoT 設備上的惡意軟體 Top10

以下是我們記錄到的 Telnet 攻擊最多的國家的 Top 10 ：

2018 年第二季度，受感染設備數量的地理分布

如圖所示， 2018 年第二季度發起 Telnet 攻擊的 IP 地址（唯一）數量最多的國家是巴西（ 23% ），第二名是中國（ 17% ）。俄羅斯排名第四（ 7% ）。在整個 2018 年 1 月至 7 月期間，我們的 Telnet 蜜罐共記錄到來自 86560 個 IP 地址（唯一）的超過 1200 萬次攻擊，並且從 27693 個 IP 地址（唯一）下載了惡意軟體。

由於一些智能設備的所有者修改了默認的 Telnet 密碼並使用複雜的密碼，而許多小工具根本不支持這種協議，因此網路犯罪分子一直在尋找新的感染向量。這一情況還受到惡意軟體開發者之間的競爭所推動（他們之間的競爭導致了暴力破解攻擊效率越來越低）：一旦成功破解了 Telnet 密碼，攻擊者就會更改設備的密碼並阻止對 Telnet 的訪問。

殭屍網路 Reaper 就是一個使用「替代技術」的很好的例子，它在 2017 年底感染了約 200 萬個 IoT 設備。該殭屍網路並沒有採用 Telnet 暴力破解攻擊，而是利用已知的軟體漏洞進行傳播：

D-Link 850L路由器固件中的漏洞

GoAhead網路攝像機中的漏洞

MVPower CCTV攝像機中的漏洞

Netgear ReadyNASSurveillance中的漏洞

Vacron NVR中的漏洞

Netgear DGN設備中的漏洞

Linksys E1500/E2500路由器中的漏洞

D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞

AVTech 設備中的漏洞

與暴力破解相比，這種傳播方法具有以下優點：

能更快地感染設備；

對用戶而言，打補丁遠比修改密碼或禁用服務要難得多。

儘管這種方法的實施難度更高，許多惡意軟體作者已經開始青睞這種方法。很快就會出現利用智能設備軟體中的已知漏洞的新木馬。

一、新的攻擊，舊的惡意軟體

為了觀察惡意軟體針對了哪些漏洞，我們分析了企圖連接到我們蜜罐的不同埠的數據。下表是 2018 年第二季度的數據：

服務埠所佔比例%攻擊向量惡意軟體家族Telnet23, 232382.26%暴力破解Mirai, GafgytSSH2211.51%暴力破解Mirai, GafgytSamba4452.78%永恆之藍, 永恆之紅, CVE-2018-7445–tr-06975470.77%TR-069實現中的RCE漏洞 Mirai, HajimeHTTP800.76%利用web伺服器中的漏洞或破解管理控制台密碼–winbox (RouterOS)82910.71%針對RouterOS(MikroTik)的攻擊中獲得的憑據和基於WinBox的攻擊 HajimeMikrotik http80800.23%版本低於6.38.5的MikroTik RouterOS中的遠程代碼執行漏洞Chimay-Red HajimeMSSQL14330.21%版本2000、2005、2008中的任意代碼執行漏洞；修改管理員密碼；數據竊取–GoAhead httpd810.16%GoAhead網路攝像機中的遠程代碼執行漏洞 Persirai, GafgytMikrotik http80810.15%Chimay-Red HajimeEtherium JSON-RPC85450.15%身份認證繞過漏洞（CVE-2017-12113） –RDP33890.12%暴力破解–XionMai uc-httpd80000.09%一些中國製造的設備的XionMai uc-httpd 1.0.0中的緩衝區溢出漏洞（CVE-2018-10088） SatoriMySQL33060.08%版本2000、2005、2008中的任意代碼執行漏洞；修改管理員密碼；數據竊取–

絕大多數攻擊仍然是針對Telnet和SSH密碼的暴力破解攻擊。第三大最常見的攻擊是針對SMB服務（文件遠程訪問服務）的攻擊。我們還沒有觀察到針對該服務的IoT惡意軟體。無論如何，某些版本的SMB中包含嚴重的已知漏洞，如永恆之藍（Windows）和永恆之紅（Linux）。舉個例子，臭名昭著的勒索軟體 WannaCry和門羅幣礦工 EternalMiner就利用了這些漏洞。

下表是 2018 年第二季度攻擊我們蜜罐的受感染 IoT 設備的類型分布：

設備所佔比例%MikroTik37.23%TP-Link9.07%SonicWall3.74%AV tech3.17%Vigor3.15%Ubiquiti2.80%D-Link2.49%Cisco1.40%AirTies1.25%Cyberoam1.13%HikVision1.11%ZTE0.88%Miele0.68%Unknown DVR31.91%

我們可以看到，運行 RouterOS 的 MikroTik 設備在列表中一騎絕塵，其原因應該是 Chimay-Red 漏洞。有趣的是，列表中還包括 33 個美諾洗碗機（占攻擊總數的 0.68% ）。它們很可能是通過其固件中的 PST10web 伺服器漏洞 CVE-2017-7240被感染的（該漏洞於 2017 年 3 月公開）。

埠7547

針對埠 7547 上的遠程設備管理服務（ TR-069 協議）的攻擊十分常見。根據 Shodan 的查詢結果，全世界有超過 4000 萬台設備的這個埠是打開的。這還是在該漏洞最近導致約 100 萬德國電信路由器被感染，更不用說用於分發惡意軟體家族 Mirai 和 Hajime 之後。

另一類攻擊則是利用了運行 RouterOS 版本 6.38.4 之下的 MikroTik 路由器中的漏洞 Chimay-Red。在 2018 年 3 月，該攻擊被積極用於分發 Hajime 。

網路攝像機

網路犯罪分子也沒有忽視網路攝像機。 2017 年 3 月研究人員在 GoAhead 設備的軟體中發現了幾個嚴重的漏洞。在相關信息被披露的一個月後，利用這些漏洞的 Gafgyt 和 Persirai 木馬新變體出現了。僅在一周內，這些惡意程序就積極感染了 57000 個設備。

2018 年 6 月 1 日， XionMaiuc-httpd web 伺服器中的漏洞（ CVE-2018-10088 ）的相關PoC被公開。該產品被用於一些中國製造的智能設備之中（如 KKMoonDVRs ）。一天之內，針對這些設備的有記錄的掃描嘗試增至三倍。這一激增的罪魁禍首就是 Satori 木馬，其以之前針對GPON路由器的攻擊而聞名。

二、終端用戶面臨的新惡意軟體和威脅 DDoS攻擊

與以前一樣，物聯網惡意軟體的主要目的是進行 DDoS 攻擊。受感染的智能設備成為殭屍網路的一部分，根據相關命令攻擊一個指定的地址，耗盡該主機用於處理真實用戶請求的資源和能力。木馬家族 Mirai 及其變體（尤其是 Hajime ）仍在部署此類攻擊。

這可能是對終端用戶危害最小的情況了。最壞情況（很少發生）也就是受感染設備的擁有者被 ISP 拉黑。而且通常情況下簡單地重啟設備就可以「治癒」該設備。

加密貨幣挖掘

另一類有效荷載與加密貨幣有關。例如， IoT 惡意軟體可以在受感染設備上安裝惡意礦工。但是鑒於智能設備的算力很低，這種攻擊的可行性還是一個疑問，即使它們的數量可能很大。

Satori 木馬的創建者發明了一種更為狡猾和可行的獲取加密貨幣的方法。他將受感染的 IoT 設備作為訪問高性能計算機的一種鑰匙：

第一步，攻擊者首先試圖利用已知漏洞感染儘可能多的路由器，這些漏洞包括：

CVE-2014-8361–Realtek SDK 的 miniigd SOAP 服務中的遠程代碼執行漏洞

CVE 2017-17215– 華為 HG532 系列路由器固件中的遠程代碼執行漏洞

CVE-2018-10561, CVE-2018-10562–Dasan GPON 路由器中的身份認證繞過漏洞和任意代碼執行漏洞

CVE-2018-10088–XiongMai uc-httpd 1.0.0 中的緩衝區溢出漏洞，該產品被用於部分中國製造的路由器和智能設備的固件中

第二步，利用受感染的路由器和以太坊挖礦軟體 Claymore 的遠程管理工具中的漏洞 CVE-2018-1000049，將錢包地址替換成自己的。

數據竊取

在 2018 年 5 月檢測到的 VPNFilter木馬則追求其它的目標。它首先攔截受感染設備的流量，然後從中提取重要的數據（用戶名、密碼等）並發送到網路犯罪分子的伺服器。下面是 VPNFilter 的主要功能：

模塊化架構。該惡意軟體的創建者可隨時添加新的功能。例如， 2018 年 6 月初檢測到一個用於向截獲的網頁注入 Java 代碼的新模塊。

自啟動機制。該木馬將自己寫入標準 Linux 計劃任務程序 crontab ，還可以修改設備的非易失性存儲器（ NVRAM ）中的配置設置。

使用 TOR 與 C&C 伺服器進行通信。

能夠自毀並使設備「變磚」。一旦接收到相關命令，該木馬就會自我刪除並用垃圾數據覆蓋固件的關鍵部分，然後重啟設備。

該木馬的傳播方法仍然未知：其代碼中沒有包含自我傳播機制。無論如何，我們傾向於認為它通過利用設備軟體中的已知漏洞來感染設備。

第一份關於VPNFilter的報告稱其感染了約 50 萬個設備。從那時起，更多的設備被感染了，並且易受攻擊的設備廠商列表大大加長了。到六月中旬，其目標包括以下品牌的設備：

ASUS

D-Link

Huawei

Linksys

MikroTik

Netgear

QNAP

TP-Link

Ubiquiti

Upvel

ZTE

由於這些廠商的設備不僅在公司網路中使用，而且常被用作家用路由器，這使得情況變得更糟。

三、結論

智能設備正在崛起，有人預測稱 2020 年智能設備的數量將超過世界總人口數量的好幾倍。然而廠商們還是沒有重視設備的安全性：在設備初始化設置過程中，他們沒有提醒用戶去修改默認密碼；他們也沒有向用戶發布關於新固件版本的通知；甚至更新過程本身對普通用戶而言都顯得十分複雜。這使得物聯網設備成為網路犯罪分子的主要攻擊目標，甚至比個人計算機更容易受到感染。物聯網設備通常在家庭基礎設施中扮演了一個重要的角色：有些用於管理網路流量，有些用於拍攝監控視頻，還有一些用於控制家用設備（如空調等）。

針對智能設備的惡意軟體不僅在數量上增長，而且在質量上也在增長。越來越多的 exploits （漏洞利用程序）被網路犯罪分子開發出來。而除了傳統的 DDoS 攻擊之外，被感染的設備還被用於竊取個人數據和挖掘加密貨幣。