物联网威胁分析—协议篇-爱代码爱编程
物联网威胁分析协议篇
物联网威胁分析—协议篇
- 引言
本章将从协议角度对物联网威胁进行分析。在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23) 是被攻击者攻击最多的 [^1],因此,我们首先对利用 Telnet 协议的攻击情况进行了分析;WS-Discovery 反 射攻击是 2019 年新出现的一种 DDoS 反射攻击类型,在 4.3 节中我们对其进行了介绍;在去年的物联 网安全年报中我们已经对 UPnP 进行了分析,今年我们对其数据进行了更新,并加入了一些新的发现。
针对协议的威胁分析
观点 4: 物联网设备是 Telnet 弱口令爆破的重点目标,其中摄像头和路由器是重灾区。与此同时, 随着虚拟货币的价格回升,攻击者更倾向于使用爆破控制的设备投向犯罪成本相对较低但收益更稳定的 挖矿活动中,将他们所控制的网络资源快速变现。
Telnet 弱口令爆破是 Mirai 物联网僵尸网络最常用的攻击手段之一。本小节将从绿盟威胁捕获系统 捕获到的 Telnet 协议相关数据(来源于 2019 年 3 月至 2019 年 10 月共 7 个月的日志数据)出发,分 析攻击源的活跃情况和地理位置分布情况,然后根据攻击源的开放端口情况进一步分析这些攻击源的设 备类型,最后通过爆破弱口令分析研究这些设备成为受控失陷主机的原因。
攻击源活跃情况
日志数据记录了所有利用 Telnet 协议的恶意行为以及相关的攻击源 IP 地址,每一个 IP 地址代表一 个攻击源。通过统计分析,我们共发现攻击源 118,527 个。图 4.1 为 7 个月以来攻击源的活跃情况。如 图所示,2019 年以来 Telnet 的利用情况逐月增加,8 月活跃的攻击源最多,数量高达 61,526 个,其中 弱口令探测行为有 53,347 个;另外,6 月样本下载的行为最多,高达 4,118 个。整体来看,后半年攻 击源的数量有所减少。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9RZV15J0-1672891239571)(http://public.host.github5.com/imgs/img/pdf1192.pdf.005.png)]
TCP 的情况,因 UDP存在反射攻击,源 IP 可被伪造,短时间内就有可能收到海量连接,所以不做统计。
3月 4月 5月 6月 7月 8月 9月 10月
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3mkYIfO5-1672891239573)(http://public.host.github5.com/imgs/img/pdf1193.pdf.003.png)]所有攻击源 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PF87o2RM-1672891239574)(http://public.host.github5.com/imgs/img/pdf1193.pdf.004.png)]弱口令探测攻击源 样本下载攻击源
图 4.1 攻击源活跃情况
攻击源国家分布
从地理位置维度对攻击源进行分析,得到攻击源所在的国家 Top10,如图 4.2 所示,可见处于中国 和美国的攻击源最多。
越南 韩国 法国 印度[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lk6McLmN-1672891239575)(http://public.host.github5.com/imgs/img/pdf1193.pdf.005.png)] 3% 3% 2%
俄罗斯 4%
埃及 4%
其他 巴西
美国 11%
中国 23%
图 4.2 攻击源国家 Top10 分布情况
攻击源开放端口分布
暴露在互联网上的大多数物联网设备都会开放 22,23 等常见端口对外提供服务,同时这也增大了它 们被攻击的风险。因此我们对攻击源的开放端口情况进行分析,图 4.3 展示了上文所述攻击源的端口分 布,攻击源开放的端口前十名为:22、80、23、443、21、53、554、8080、7547、3306。开放 22 端 口和 23 端口的攻击源占所有攻击源的 55%。由此可以推断,大部分攻击源极有可能都是被弱口令爆破 后的受控失陷主机。
攻击者数量 15000 13703 12517
图 4.3 攻击源开放端口 Top10
攻击源设备类型分布
通过与绿盟威胁情报中心(NTI)中的资产情报数据相关联,我们发现这些攻击源有 29% 为物联网 设备。如图 4.4 所示,主要设备类型是频监控设备和路由器,分别占比 47% 和 42%。由此可见, 频监控设备和路由器是最容易被攻击源入侵控制的物联网设备。
VoIP设备 
路由器 5%
打印机 5%
其他 视频监控设备 1%
图 4.4 攻击源设备类型分布
攻击源爆破弱口令分析
弱口令 root-vizxv 曾被曝过可以直接登陆某安防监控设备后台,弱口令 root-t0talc0ntr0l4! 是 Control4 智能家居设备的默认凭证,弱口令 root-taZz@23495859 是 Mirai 变种“Asher”用来感染路由 器最常用的弱口令之一。因此我们对攻击源爆破时使用的弱口令进行统计分析,发现很多物联网设备都 是被爆破弱口令攻击后成为受控失陷主机的。如表 4.1 爆破弱口令 Top10 所示,除了一些常见的弱口令 外,上文提及到的物联网设备相关弱口令都名列前茅。
表 4.1 爆破弱口令 Top10
|排名|弱口令|使用次数|
利用协议的攻击行为分析
通过对大量利用 Telnet 协议的攻击源入侵时的攻击行为进行聚类,同时对与其相关的爆破弱口令列 表和恶意样本进行关联性分析,我们发现了一个面向门罗币挖矿的僵尸网络,该僵尸网络首先通过弱口 令爆破入侵主机,以植入 RSA公钥或僵尸程序的方式获取控制权限,然后使用下载器下载门罗币挖矿 病毒,并根据主机类型执行相应的脚本,最终实现恶意挖矿,将所控制的网络资源变现。
据不完全统计,该僵尸网络在 2019 年 7 月份最为活跃,所控制的肉鸡总数量上万台,单日最高活 跃肉鸡数接近 600 台,其中处于中国和美国的肉鸡数最多,分别为 2119 台和 1335 台,开放 22 端口 的肉鸡数有 6681 台,占比接近所有肉鸡的 65%。在已知的资产情报数据中,这些肉鸡有 12% 为物联网 设备,主要设备类型是路由器和摄像头。另外,该挖矿僵尸网络最常用的爆破弱口令是 nproc-nproc。 虽然目前从样本服务器上已经无法下载相关样本,但是该僵尸网络活动情况依然有小规模上升趋势。
该挖矿僵尸网络分析的完整版可参见《用区块链挣钱,黑产也这么想》[47]。
4.3 针对 WS-Discovery 协议的威胁分析
本节对 WS-Discovery 反射攻击进行了分析,关于 WS-Discovery 的介绍详见第一章。
观点 5: 自 2019 年 2 月被百度安全研究人员披露以来,下半年利用 WS-Discovery 协议进行反射 攻击的事件明显增多。我们捕获的反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速, 需要引起安全厂商、服务提供商、运营商等相关机构足够的重视。
暴露情况分析
为了精确刻画 WS-Discovery 反射攻击的情况,我们一方面对暴露在互联网上的 WS-Discovery 服务 进行了测绘 1,另一方面我们利用威胁捕获系统对其进行了监测。这两方面的数据将分别在接下来两节 进行介绍。
观察 6: 全球有约 91 万个 IP开放了 WS-Discovery 服务,存在被利用进行 DDoS 攻击的风险,其 中有约 73 万是视频监控设备,约占总量的 80%。
1 如无特殊说明,本节所提到的数据为全球单轮次测绘数据(2019 年 7 月),数据来自绿盟威胁情报中心(NTI)。
网络存储设备
打印机 4.5%
视频监控设备
不确定 5.2%
图 4.5 开放 WS-Discovery 服务的设备类型分布情况
图 4.6 是开放 WS-Discovery 服务的设备国家分布情况,从中可以看出,开放 WS-Discovery 服务的 设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。
意大利 法国 波兰 墨西哥
1% 2% 2% 2% 阿根廷 土耳其
2% 1%
罗马尼亚
俄罗斯 3%
其他 哥伦比亚 27% 3%
韩国
印度 8%
中国 5% 14% 美国
越南 巴西
图 4.6 开放 WS-Discovery 服务的设备国家分布情况
约有 24%的设备对于 WS-Discovery 的回复报文的源端口是 机性),这对基于源端口过滤的传统 DDoS 防护提出了新挑战。
A10 Networks 公司的一份 WS-Discovery 安全研究报告 口进行回复。在我们的验证数据中,约有 24% 的设备对于
3702 端口之外的其它端口(有一定随
[48] 提到,有约 46% 的设备会采用随机端
WS-Discovery 的回复报文的源端口并不是
3702 端口。更进一步,我们发现,并不是所有的其他端口都是随机的,也存在固定端口的情况(如 1024 端口)。
正因为存在随机回复端口的特点,WS-Discovery 反射攻击的缓解机制存在非常大的挑战。与其他反 射攻击缓解策略不同,简单地添加阻断源端口为 3702 规则并不能防护 WS-Discovery 反射攻击,亟待 研究其他有效的缓解机制。
反射攻击分析
本节,我们将对绿盟威胁捕获系统中的数据进行分析,研究当前 WS-Discovery 反射攻击相关的威 胁态势,数据来源于从 2019.7.10 至 2019.9.21 共 74 天的日志数据。下面我们将分别从攻击手法、攻 击事件、受害者三个维度进行分析。
4.3.2.1 攻击手法分析
下面,我们将从攻击载荷的长度入手来分析攻击者的攻击手法。在博客 [49] 中,我们还对攻击流量 的源端口的分布数量和受害者 IP 的网段分布进行了分析。
观察 7:攻击者在进行 WS-Discovery 反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷, 而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷,约占所有攻击 日志数量的三分之二。该载荷所造成的反射攻击的平均带宽放大因子为 443。
我们对 WS-Discovery 反射攻击日志数据中的报文载荷进行了统计,如图 4.7 所示,出于尽量不扩 散攻击报文的考虑,这里我们按照出现的报文的长度对其命名,比如,一个攻击报文的应用层长度为三 字节,则将其命名为 payload3。可以看到,前五种攻击载荷占了所有攻击数量的 99% 以上。我们还发 现这五种载荷都不是合法的服务发现报文,最短的载荷只有 2 个字节。出现最多的是一个三个字节的载 荷,约占所有攻击数量的三分之二。
图 4.7 蜜罐捕获的 WS-Discovery 反射攻击的 payload 占比情况
我们对 payload3 进行了全网探测,发现并非所有的 WS-Discovery 服务都对这样的载荷进行响应, 有回应的 IP 数量为 28918 个。
图 4.8 是对 payload3 有回应的设备的国家分布情况,从中可以看出,设备暴露数量最多的三个国 家依次是美国、韩国和中国。我们也对这些设备的类型进行了统计,以频监控设备和打印机为主,其 中视频监控设备占比为 75%。
我们对探测到的回复报文的长度进行了分析,其长度从几百到几千字节不等,平均长度为 1330 字节。 由此可得平均带宽放大因子(Bandwidth Amplification Factor,BAF)1 [50] 为 443。
波兰 意大利 法国 2% 3% 4%
德国 5%
俄罗斯 其他 6% 28%
越南 6%
美国 巴西 15% 中国 6%
韩国 12%
图 4.8 对 payload3 有回应的设备的国家分布情况
1 放大因子我们采用 NDSS 2014 的论文 Amplification Hell: Revisiting Network Protocols for DDoS Abuse 上对于带宽放大因子的定义,
不包含 UDP的报文头。
2. 攻击事件分析
我们对绿盟威胁捕获系统捕获的攻击事件进行了分析,如图 4.9 所示,这里我们将一天内一个独 立 IP 相关的事件看作一次攻击事件,攻击事件的数量我们将以天为单位进行呈现。直观来看,WS- Discovery 反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速。这说明 WS-Discovery 反 射攻击已经逐渐开始被攻击作为一种用于 DDoS 攻击的常规武器,需要引起相关如安全厂商、服务提供 商、运营商等机构足够的重视。
事件数量(个)
日期 
攻击事件
图 4.9 WS-Discovery 反射攻击事件变化情况
3. 受害者分析
WS-Discovery 反射攻击的受害者国家分布情况如图 4.10 所示,我们观察到共有 24 个国家和地区受 到过攻击。从图中可以看出,中国是受害最严重的国家,其占全部受害者 IP的 33%;排在第二位的是美国, 占比为 21%。
加拿大
巴西
2% 其它
印度 13%
3% 中国 法国 33%
英国
6% 美国 德国 21%
菲律宾
图 4.10 WS-Discovery 反射攻击受害者的国家分布
4.4 针对 UPnP 协议的威胁分析
在去年的物联网安全年报中我们已经对 UPnP 协议进行了分析,今年我们对数据进行了更新,并加 入了一些新的发现,UPnP 相关基础知识可参见去年的物联网安全年报,本文不再赘述。
观点 6: 全球约 228 万台物联网设备开放了 UPnP SSDP 服务(1900 端口),存在被利用进行 DDoS 攻击的风险,设备总量较去年减少约 22%。约 39 万台物联网设备暴露的 UPnP 端口映射服务存 在被滥用的可能,可被用于做代理或将内网服务暴露在外网。