【宁静趋势】卡巴斯基2018上半年物联网威胁的新趋势

宣布时间 2018-10-31

网络犯罪分子对物联网设备的兴趣一直在增长：在2018上半年，我们视察到的IoT恶意软件样本的数量是2017年全年的三倍。而2017年的数字则是2016年的10倍。这一趋势对于未来而言不容乐观。
因此在这里我们研究了以下三个问题：网络犯罪分子熏染智能设备的攻击向量、哪些恶意软件被加载到用户的系统中以及最新的僵尸网络对设备所有者和受害者来说意味着什么。

东森·(中国区)官方网站

2016年 – 2018年，卡巴斯基实验室收集到的IoT恶意软件样本的数量

最流行的攻击和熏染向量仍然是针对Telnet密码的暴力破解攻击。在2018年第二季度，我们的蜜罐记录的此类攻击的数量是其它类型攻击数量总和的三倍还要多。

在将恶意软件下载到物联网设备上时，网络犯罪分子的首选项是Mirai家族（20.9%）。

乐成破解Telnet密码后下载到IoT设惫亓恶意软件Top10

以下是我们记录到的Telnet攻击最多的国家的Top 10：

东森·(中国区)官方网站

2018年第二季度，受熏染设备数量的地理漫衍

如图所示，2018年第二季度提倡Telnet攻击的IP地址（唯一）数量最多的国家是巴西（23%），第二名是中国（17%）。俄罗斯排名第四（7%）。在整个2018年1月至7月期间，我们的Telnet蜜罐共记录到来自86560个IP地址（唯一）的凌驾1200万次攻击，而且从27693个IP地址（唯一）下载了恶意软件。
由于一些智能设备的所有者修改了默认的Telnet密码并使用庞大的密码，而许多小工具基础不支持这种协议，因此网络犯罪分子一直在寻找新的熏染向量。这一情况还受到恶意软件开发者之间的竞争所推动（他们之间的竞争导致了暴力破解攻击效率越来越低）：一旦乐成破解了Telnet密码，攻击者就会更改设备的密码并阻止对Telnet的访问。

僵尸网络Reaper就是一个使用“替代技术”的很好的例子，它在2017年底熏染了约200万个IoT设备。该僵尸网络并没有接纳Telnet暴力破解攻击，而是利用已知的软件漏洞进行流传：

D-Link 850L路由器固件中的漏洞
GoAhead网络摄像机中的漏洞
MVPower CCTV摄像机中的漏洞
Netgear ReadyNASSurveillance中的漏洞
Vacron NVR中的漏洞
Netgear DGN设备中的漏洞
Linksys E1500/E2500路由器中的漏洞
D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞

AVTech设备中的漏洞

与暴力破解相比，这种流传要领具有以下优点：

能更快地熏染设备

对用户而言，打补丁远比修改密码或禁用服务要难得多

尽管这种要领的实施难度更高，许多恶意软件作者已经开始青睐这种要领。很快就会泛起利用智能设备软件中的已知漏洞的新木马。

新的攻击，旧的恶意软件

为了视察恶意软件针对了哪些漏洞，我们分析了企图连接到我们蜜罐的差异端口的数据。下表是2018年第二季度的数据：

东森·(中国区)官方网站

下表是2018年第二季度攻击我们蜜罐的受熏染IoT设备的类型漫衍：绝大多数攻击仍然是针对Telnet和SSH密码的暴力破解攻击。第三大最常见的攻击是针对SMB服务（文件远程访问服务）的攻击。我们还没有视察到针对该服务的IoT恶意软件。无论如何，某些版本的SMB中包罗严重的已知漏洞，如永恒之蓝（Windows）和永恒之红（Linux）。举个例子，污名昭著的勒索软件WannaCry和门罗币矿工 EternalMiner就利用了这些漏洞。

我们可以看到，运行RouterOS的MikroTik设备在列表中一骑绝尘，其原因应该是Chimay-Red漏洞。

7547端口

针对7547端口上的远程设备管理服务（TR-069协议）的攻击十分常见。凭据Shodan的查询结果，全世界有凌驾4000万台设备的这个端口是打开的。这还是在该漏洞最近导致约100万德国电信路由器被熏染，更不用说用于分发恶意软件家族Mirai和Hajime之后。
另一类攻击则是利用了运行RouterOS版本6.38.4之下的MikroTik路由器中的漏洞Chimay-Red。在2018年3月，该攻击被积极用于分发Hajime。

网络摄像机

网络犯罪分子也没有忽视网络摄像机。2017年3月研究人员在GoAhead设备的软件中发现了几个严重的漏洞。在相关信息被披露的一个月后，利用这些漏洞的Gafgyt和Persirai木马新变体泛起了。仅在一周内，这些恶意法式就积极熏染了57000个设备。

2018年6月1日，XionMaiuc-httpd web服务器中的漏洞（CVE-2018-10088）的相关PoC被果然。该产物被用于一些中国制造的智能设备之中（如KKMoonDVRs）。一天之内，针对这些设备的有记录的扫描实验增至三倍。这一激增的罪魁祸首就是Satori木马，其以之前针对GPON路由器的攻击而闻名。

终端用户面临的新恶意软件和威胁

DDoS攻击

与以前一样，物联网恶意软件的主要目的是进行DDoS攻击。受熏染的智能设备成为僵尸网络的一部门，凭据相关命令攻击一个指定的地址，耗尽该主机用于处置真实用户请求的资源和能力。木马家族Mirai及其变体（尤其是Hajime）仍在部署此类攻击。

这可能是对终端用户危害最小的情况了。最坏情况（很少发生）也就是受熏染设备的拥有者被ISP拉黑。而且通常情况下简单地重启设备就可以“治愈”该设备。

加密货币挖掘

另一类有效荷载与加密货币有关。例如，IoT恶意软件可以在受熏染设备上安装恶意矿工。但是鉴于智能设备的算力很低，这种攻击的可行性还是一个疑问，即使它们的数量可能很大。

Satori木马的创建者发现了一种更为狡猾和可行的获取加密货币的要领。他将受熏染的IoT设备作为访问高性能计算机的一种钥匙：

第一步，攻击者首先试图利用已知漏洞熏染尽可能多的路由器，这些漏洞包罗：

CVE-2014-8361 –Realtek SDK的miniigd SOAP服务中的远程代码执行漏洞
CVE 2017-17215 –华为HG532系列路由器固件中的远程代码执行漏洞
CVE-2018-10561, CVE-2018-10562 –Dasan GPON路由器中的身份认证绕过漏洞和任意代码执行漏洞

CVE-2018-10088 –XiongMai uc-httpd 1.0.0中的缓冲区溢出漏洞，该产物被用于部门中国制造的路由器和智能设备的固件中

第二步，利用受熏染的路由器和以太坊挖矿软件Claymore的远程管理工具中的漏洞CVE-2018-1000049，将钱包地址替换成自己的。

数据窃取

在2018年5月检测到的VPNFilter木马则追求其它的目标。它首先拦截受熏染设备的流量，然后从中提取重要的数据（用户名、密码等）并发送到网络犯罪分子的服务器。下面是VPNFilter的主要功效：

�？榛芄�。该恶意软件的创建者可随时添加新的功效。例如，2018年6月初检测到一个用于向截获的网页注入JavaScript代码的新�？�。
自启动机制。该木马将自己写入尺度Linux计划任务法式crontab，还可以修改设备的非易失性存储器（NVRAM）中的配置设置。
使用TOR与C&C服务器进行通信。
能够自毁并使设备“变砖”。一旦接收到相关命令，该木马就会自我删除并用垃圾数据笼罩固件的要害部门，然后重启设备。
该木马的流传要领仍然未知：其代码中没有包罗自我流传机制。无论如何，我们倾向于认为它通过利用设备软件中的已知漏洞来熏染设备。
第一份关于VPNFilter的陈诉称其熏染了约50万个设备。从那时起，更多的设备被熏染了，而且易受攻击的设备厂商列表大大加长了。到六月中旬，其目标包罗以下品牌的设备：

ASUS

D-Link
Huawei
Linksys
MikroTik
Netgear
QNAP
TP-Link
Ubiquiti
Upvel
ZTE
由于这些厂商的设备不仅在公司网络中使用，而且常被用作家用路由器，这使得情况变得更糟。

结论

智能设备正在崛起，有人预测称2020年智能设备的数量将凌驾世界总人口数量的好几倍。然而厂商们还是没有重视设备的宁静性：在设备初始化设置过程中，他们没有提醒用户去修改默认密码；他们也没有向用户宣布关于新固件版本的通知；甚至更新过程自己对普通用户而言都显得十分庞大。这使得物联网设备成为网络犯罪分子的主要攻击目标，甚至比个人计算机更容易受到熏染。物联网设备通常在家庭基础设施中饰演了一个重要的角色：有些用于管理网络流量，有些用于拍摄监控视频，还有一些用于控制家用设备（如空调等）。
针对智能设备的恶意软件不仅在数量上增长，而且在质量上也在增长。越来越多的exploits（漏洞利用法式）被网络犯罪分子开发出来。而除了传统的DDoS攻击之外，被熏染的设备还被用于窃取个人数据和挖掘加密货币。

下面是一些可以资助减少智能设备熏染风险的小技巧：

除非绝对须要，否则禁止从外部网络访问设备
定期重启有助于清除已熏染的恶意软件（尽管大多数情况下还存在再次熏染的风险）
定期检查是否存在新版本的固件并进行更新
使用庞大密码（长度至少为8位，包罗巨细写字母、数字和特殊字符）
在初始设置时更改出厂密码（即使设备未提示您这样做）
如果存在该选项，则关闭/禁用不使用的端口。例如，如果您不计划通过Telnet（占用TCP端口23）连接到路由器，则最好禁用该端口以降低被入侵的风险。

原文链接：https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

【宁静趋势】卡巴斯基2018上半年物联网威胁的新趋势

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线