近年來,隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展以及國家政策的大力支持,物聯(lián)網(wǎng)這一領(lǐng)域也跟著水漲船高,各項具有應(yīng)用意義的項目也在不斷拓展,比如智能家居,視頻監(jiān)控系統(tǒng)等,身處千里之外,卻能知悉家中的一舉一動,這也體現(xiàn)了“萬物互聯(lián)”的概念。其中,作為物聯(lián)網(wǎng)的終端節(jié)點,比如智能路由器,視頻監(jiān)控器等設(shè)備,隨著大眾將目光逐步轉(zhuǎn)移到物聯(lián)網(wǎng)時,這些設(shè)備因自身的安全性問題也遭受到來自惡意攻擊者的覬覦。
據(jù)悉,目前針對物聯(lián)網(wǎng)設(shè)備的惡意軟件越來越普遍了,基本每個月都會發(fā)現(xiàn)新的變種。而據(jù)分析,在過去的兩年里,發(fā)現(xiàn)的所有物聯(lián)網(wǎng)惡意軟件基本都是同樣的運作原理思路。一般來說,使用釣魚方式或者自動化工具來進行暴力破解物聯(lián)網(wǎng)設(shè)備,通過密碼字典嘗試批量猜解物聯(lián)網(wǎng)設(shè)備的管理員賬戶及密碼,來開始對設(shè)備的感染。
物聯(lián)網(wǎng)僵尸擴張的源頭:默認設(shè)備登錄口令
當(dāng)設(shè)備運行后,如果用戶沒有及時更改設(shè)備的默認登陸口令,攻擊者往往可針對這些設(shè)備進行暴破,輕而易舉便可進入到該設(shè)備的管理界面。此后,攻擊者便可植入惡意代碼到其中,并使之與C&C服務(wù)器通訊,將之融合到僵尸網(wǎng)絡(luò)中。而這些僵尸網(wǎng)絡(luò)主要用以發(fā)動DDoS攻擊,或者作為代理,向其他物聯(lián)網(wǎng)設(shè)備實施暴力破解。
在近年八月份,卡巴斯基發(fā)現(xiàn)基于Linux設(shè)備節(jié)點組成的網(wǎng)絡(luò),近年來在地下市場已逐步成為主流的DDoS攻擊的僵尸網(wǎng)絡(luò)。
在大部分案例中,物聯(lián)網(wǎng)設(shè)備往往被集中起來,組成僵尸網(wǎng)絡(luò),從而發(fā)起DDoS攻擊,僅僅在少數(shù)定向攻擊的案例中,我們會發(fā)現(xiàn)某些攻擊者,利用其中物聯(lián)網(wǎng)中的某一設(shè)備,作為網(wǎng)絡(luò)中的代理節(jié)點來進行攻擊。
前文所呈現(xiàn)的入侵攻擊,一方面,還是因為用戶的安全意識較為薄弱,在使用物聯(lián)網(wǎng)設(shè)備過程中,并沒有對密碼進行強化或者更改,導(dǎo)致攻擊者可輕而易舉地暴破訪問設(shè)備。另一方面,也是因為相應(yīng)的物聯(lián)網(wǎng)終端設(shè)備存在安全漏洞,攻擊者利用該漏洞來對設(shè)備進行控制,從而才可將對設(shè)備進行感染并融入到其僵尸網(wǎng)絡(luò)中。而根據(jù)安全公司賽門鐵克的全球統(tǒng)計,以下表單為目前物聯(lián)網(wǎng)設(shè)備Top 10 的弱口令(其中賬戶和同一行的密碼并不對應(yīng))。
如果針對我們自身使用的系統(tǒng)及設(shè)備如樹莓派或者ubantu等,從目前的密碼強度進行審計,是否也存在相應(yīng)的弱口令呢?
根據(jù)來自賽門鐵克的研究,近年的物聯(lián)網(wǎng)惡意軟件往往帶有跨平臺特性,能夠有效針對所有的主流硬件平臺進行攻擊,如x86, ARM, MIPS以及 MIPSEL平臺等。除了上述的部分,在某些案例中,也有一些惡意軟件家族,主要針對其他平臺或者架構(gòu)的,如PowerPC, SuperH以及 SPARC架構(gòu)的。
物聯(lián)網(wǎng)惡意軟件可自我進行復(fù)制
實際上,通過使用工具,像Shodan(具體還請參考《如何在15分鐘內(nèi)利用Shodan對企業(yè)進行安全審計?》以及《安全搜索引擎Shodan(搜蛋)命令行模式使用TIPS》),以及自動化暴破腳本,攻擊者已經(jīng)很少需要手工進行操作了,雖然偶爾可能會碰到需要手工操作的案例。而當(dāng)前的物聯(lián)網(wǎng)惡意軟件甚至有了蠕蟲的特性,即是可以傳播給其他關(guān)聯(lián)的設(shè)備,例如 Ubiquiti 蠕蟲。
Ubiquiti ,其全稱為優(yōu)倍快網(wǎng)絡(luò)公司,簡稱UBNT,我們可以發(fā)現(xiàn)其在前文物聯(lián)網(wǎng)設(shè)備弱口令Top 10的排名中也是榜上有名的。該公司主要生產(chǎn)無線網(wǎng)絡(luò)產(chǎn)品,包括像WiFi覆蓋AP、點對點網(wǎng)橋、點對多點網(wǎng)橋、WiFi客戶端(CPE)等。而Ubiquiti蠕蟲,被發(fā)現(xiàn)于其AirOS路由器,主要可通過利用一個存在路由器login.cgi文件中的任意文件上傳漏洞(詳情請參看進行了解:https://hackerone.com/reports/73480),上傳并執(zhí)行惡意文件。在已知的案例中,攻擊者創(chuàng)建了一種可自我復(fù)制的病毒,通過利用Ubiquiti產(chǎn)品的默認口令(賬戶為ubnt,密碼為ubnt)登錄路由器,而利用上述漏洞,蠕蟲會在路由器上創(chuàng)建一個后門賬戶,并利用已有權(quán)限向其他設(shè)備進行復(fù)制傳播。而該蠕蟲病毒也被稱為Ubiquiti蠕蟲。
因自我復(fù)制的特性,物聯(lián)網(wǎng)惡意軟件可“幫助”攻擊者建立起一個頗具規(guī)模的僵尸網(wǎng)絡(luò),據(jù)目前的統(tǒng)計,至少存在一百萬個安全性極低的物聯(lián)網(wǎng)設(shè)備向互聯(lián)網(wǎng)開放其敏感端口。
感染物聯(lián)網(wǎng)設(shè)備的主流惡意軟件有哪些?
如前文所述,這些物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)往往被利用來實施不同類型的DDoS攻擊。如在近期,infosec記者報道了一次由物聯(lián)網(wǎng)設(shè)備組成的網(wǎng)絡(luò)發(fā)起的DDoS攻擊,其最高峰流量可達620Gbps。
而作為感染設(shè)備的惡意軟件,到目前,究竟有哪些類型或者種類呢?我們可以往下看看。
據(jù)安全公司賽門鐵克分析統(tǒng)計,目前最為主流的物聯(lián)網(wǎng)惡意軟件家族如下,
Linux.Darlloz (aka Zollard),
Linux.Aidra (Linux.Lightaidra)
Linux.Xorddos (aka XOR.DDos)
Linux.Gafgyt (aka GayFgt, Bashlite),
Linux.Ballpit (aka LizardStresser)
Linux.Moose, Linux.Dofloo (aka AES.DDoS, Mr. Black)
Linux.Pinscan / Linux.Pinscan.B (aka PNScan)
Linux.Kaiten / Linux.Kaiten.B (aka Tsunami)
Linux.Routrem (aka Remainten, KTN-Remastered, KTN-RM)
Linux.Wifatch (aka Ifwatch)
Linux.LuaBot
物聯(lián)網(wǎng)設(shè)備廠商缺乏足夠的安全響應(yīng)能力
根據(jù)統(tǒng)計的數(shù)據(jù),缺乏安全性的物聯(lián)網(wǎng)設(shè)備在全球范圍內(nèi)普遍存在。其中來自中國安全性較低的設(shè)備,約占設(shè)備總數(shù)量的34%,其次是美國,約占28%,接下來為俄羅斯,約占9%,詳細如下圖。
實際上,出現(xiàn)安全問題的設(shè)備往往來自于同一個公司的產(chǎn)品。比如
此前有過報道的,關(guān)于發(fā)現(xiàn)將近25000個攝像頭被感染為僵尸網(wǎng)絡(luò)節(jié)點一事,正是由于國內(nèi)一家生產(chǎn)硬盤錄像機的廠商,未能及時發(fā)布升級固件,造成該公司生產(chǎn)的大量攝像頭被入侵的情況。該公司的硬盤錄像機被全球約70多家公司貼牌出售,而當(dāng)時應(yīng)該也是有很多用戶并不能及時修復(fù)他們的設(shè)備,因為銷售廠商他們也在等待這家位于中國的廠商發(fā)布的補丁,來修復(fù)漏洞。
結(jié)語
隨著物聯(lián)網(wǎng)的發(fā)展,特別是智能家居逐步深入到家庭的每個角落中,物聯(lián)網(wǎng)設(shè)備的安全性已經(jīng)與每個人,每個家庭緊緊掛鉤。提高物聯(lián)網(wǎng)設(shè)備的安全性以及設(shè)備廠商的安全響應(yīng)能力已經(jīng)是迫在眉睫。同時用戶在日常使用設(shè)備的過程中,應(yīng)提高安全意識以及培養(yǎng)良好的安全習(xí)慣,比如新裝設(shè)備應(yīng)及時更改并設(shè)置高強度密碼,定期查看設(shè)備登錄記錄等,如有可能,也可關(guān)閉設(shè)備的敏感服務(wù)端口,盡可能降低設(shè)備被入侵風(fēng)險。
*參考來源:softpedia,ubiquiti,FB小編troy編譯,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)