2017年國內(nèi)惡意物聯(lián)網(wǎng)IP分析
2018年01月29日
一�����、引言
近兩年來��,隨著物聯(lián)網(wǎng)相關(guān)技術(shù)的發(fā)展�,幾乎所有的家用電器都可以接入網(wǎng)絡(luò)。智能化的應(yīng)用給生活帶來便利的同時�,其副作用也隨之而生。2016年���,攻擊者使用Mirai病毒用僵尸物聯(lián)網(wǎng)設(shè)備讓一個新聞網(wǎng)站的重要防火墻癱瘓之后��,緊接著Dyn DNS service遭受到攻擊��,使得美國網(wǎng)絡(luò)中流砥柱的公司大面積癱瘓��,影響遍及數(shù)百萬人群�。而Mirai能夠在識別物聯(lián)網(wǎng)設(shè)備的同時令其感染病毒使之成為僵尸網(wǎng)絡(luò)�,進而集中控制物聯(lián)網(wǎng)設(shè)備,發(fā)起分布式拒絕服務(wù)(DDoS)攻擊���,大量垃圾流量會滲透進入目標(biāo)服務(wù)器����,令服務(wù)器癱瘓�。如今,受到威脅的不再只是電腦�����,網(wǎng)絡(luò)攝像頭和路由器也早已危機四伏���,因此對物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的識別及攻擊預(yù)測�,顯得尤為重要��。
通常情況下�����,可以從地址類型�����、網(wǎng)絡(luò)位置����、行為位置、風(fēng)險類型等多個方面對某一IP進行描繪���,IP維度上產(chǎn)生的信息���,可以在很多業(yè)務(wù)場景中配合使用��,如果對一些可疑的IP進行合理的描繪��,輸出相關(guān)的情報信息����,從某些方面講也可以為惡意攻擊提供一定的預(yù)警能力��。本文對物聯(lián)網(wǎng)設(shè)備的IP進行了分析��,主要從設(shè)備類型����,開放服務(wù),地域信息�����,攻擊類型四個方面進行描繪�,而且對這些維度進行分析,從中得出現(xiàn)有的惡意物聯(lián)網(wǎng)IP的特征���,并分析這些特征產(chǎn)生的可能原因�。
由2017年3月份綠盟科技創(chuàng)新中心物聯(lián)網(wǎng)安全實驗室和威脅情報實驗室聯(lián)合發(fā)表的《國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析》(http://t.cn/RaGywgI)中了解到,國內(nèi)有十幾種物聯(lián)網(wǎng)設(shè)備存在數(shù)量較多的暴露情況����,根據(jù)數(shù)量排序依次列出����。
本文物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)全部來源于NTI(綠盟威脅情報中心),通過設(shè)備類型標(biāo)簽提取出物聯(lián)網(wǎng)資產(chǎn)���,將結(jié)果與歷史攻擊事件數(shù)據(jù)庫中3000w IP進行撞庫處理�����,最后共獲得77860條惡意物聯(lián)網(wǎng)資產(chǎn)記錄�����,并將以上兩個數(shù)據(jù)庫的字段相結(jié)合做了如下相關(guān)分析���。
二、相關(guān)分析
1. 攻擊類型分析
惡意的物聯(lián)網(wǎng)資產(chǎn)以肉雞為主�����,主要發(fā)動掃描和DDoS攻擊。
我們對威脅IP歷史攻擊事件數(shù)據(jù)庫中提取的惡意物聯(lián)網(wǎng)資產(chǎn)的攻擊類型字段進行統(tǒng)計�����,對于物聯(lián)網(wǎng)資產(chǎn)而言��,多數(shù)惡意的物聯(lián)網(wǎng)設(shè)備都是被其他主機控制����,組成僵尸網(wǎng)絡(luò)進行攻擊。如圖 2.1 所示��,除了其他攻擊類型以外��,Botnet(僵尸網(wǎng)絡(luò))總量占比最多����,主要做Scanners(掃描器)和DDoS攻擊。當(dāng)初的Mirai事件就是黑客利用物聯(lián)網(wǎng)設(shè)備的弱口令等安全漏洞�,主要對網(wǎng)絡(luò)監(jiān)控設(shè)備實施入侵,并植入惡意軟件構(gòu)建僵尸網(wǎng)絡(luò)進行DDoS攻擊���,致使被攻擊的網(wǎng)絡(luò)癱瘓的現(xiàn)象����。
2. 設(shè)備類型分析
惡意物聯(lián)網(wǎng)設(shè)備中路由器和網(wǎng)絡(luò)攝像頭數(shù)量最多,占惡意總量90%以上����。
從上圖可以看出惡意物聯(lián)網(wǎng)IP中路由器和網(wǎng)絡(luò)攝像頭兩種設(shè)備占總量的90%以上,是什么導(dǎo)致二者數(shù)量占比這么多呢?分析猜測有以下幾點原因����。首先��,從圖 4物聯(lián)網(wǎng)資產(chǎn)暴露情況來看���,惡意物聯(lián)網(wǎng)設(shè)備類型的數(shù)量排名與暴露的數(shù)量的排名幾乎相吻合�,暴露的基數(shù)越大該設(shè)備被控制的數(shù)量可能就會越多;其次����,因為多數(shù)人并不知道路由器,攝像頭等物聯(lián)網(wǎng)設(shè)備會被大規(guī)模植入惡意軟件��,所以此類設(shè)備很少有防護���,而且具有常開的特性����,操控者不擔(dān)心會失去連接,這為攻擊提供了很大的便利;最后也跟NTI的物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)有關(guān)�,可能因為NTI對攝像頭和路由器識別基數(shù)大,所以路由器和攝像頭的惡意資產(chǎn)較多���。以上等等均為推測���,欲知確切原因,還需要更多數(shù)據(jù)進一步佐證���。
3. 地域分布分析
全球惡意的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大多數(shù)分布在人口較多的發(fā)展中國家��。
印度的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)數(shù)量最多�,其次是中國和巴西����,三個都是發(fā)展中國家,而且人口基數(shù)都很大��,可能對路由器���、攝像頭等物聯(lián)網(wǎng)設(shè)備需求也較多�,并且一定程度上說明這些國家地區(qū)的人們對物聯(lián)網(wǎng)安全意識相對薄弱。
圖6 惡意物聯(lián)網(wǎng)設(shè)備國家數(shù)量分布
國內(nèi)惡意的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)主要分布在東南沿海地帶���,包括長三角���,珠三角和京津冀經(jīng)濟帶,香港地區(qū)是重災(zāi)區(qū)��。
如圖 7 所示�,惡意物聯(lián)網(wǎng)設(shè)備主要分布在東南沿海和京津冀地帶,產(chǎn)生這一現(xiàn)象可能是因為發(fā)達的經(jīng)濟帶物聯(lián)網(wǎng)設(shè)備的基數(shù)本身就大���,所以這些地區(qū)的惡意物聯(lián)網(wǎng)設(shè)備數(shù)量相對其他地區(qū)會多一些。當(dāng)然這只是一種猜測�,具體原因還需進一步的數(shù)據(jù)支撐和分析得出。由圖 8 可知�����,香港地區(qū)的惡意物聯(lián)網(wǎng)資產(chǎn)數(shù)量最多���,且根據(jù)《國內(nèi)物聯(lián)網(wǎng)資產(chǎn)的暴露情況分析》顯示����,該地區(qū)的物聯(lián)網(wǎng)設(shè)備暴露情況令人堪憂,看來暴露情況和惡意情況很可能正相關(guān)����。
4. 開放服務(wù)分析
被控制的物聯(lián)網(wǎng)設(shè)備大部分開放多個端口,開放最多的是WEB服務(wù)�。
我們對惡意的物聯(lián)網(wǎng)設(shè)備開放的服務(wù)數(shù)量進行了統(tǒng)計(端口開放可能包括歷史數(shù)據(jù)),其中絕大部分開放端口為80�����,161��,37777�。通過分析惡意物聯(lián)網(wǎng)資產(chǎn)協(xié)議和默認端口的對應(yīng)關(guān)系,發(fā)現(xiàn)開放最多的協(xié)議為HTTP協(xié)議(圖 10)�,也就是說在惡意的物聯(lián)網(wǎng)設(shè)備中,開放最多的是WEB服務(wù)����。
三、寫在最后
當(dāng)然以上都是從客觀的維度進行的分析��,但是如果想找到惡意的物聯(lián)網(wǎng)設(shè)備��,還需根據(jù)具體的網(wǎng)絡(luò)活動看其是否有惡意的行為,包括是否有與C&C主機連接行為和是否有攻擊行為兩個方面����。如果能查到某物聯(lián)網(wǎng)資產(chǎn)與已知的C&C主機連接,該物聯(lián)網(wǎng)設(shè)備就有肉雞的嫌疑���,而該物聯(lián)網(wǎng)資產(chǎn)有攻擊相關(guān)流量�����,就可以進一步確定其為肉雞�����。
分析了這么多�,作為使用者我們該如何防止自己的物聯(lián)網(wǎng)設(shè)備���,不被他人攻擊呢?這里結(jié)合我們的分析,簡單的總結(jié)了一些建議:
修改初始口令以及弱口令����,加固用戶名和密碼的安全性;
關(guān)閉不用的端口和服務(wù),如FTP(21端口)�、SSH(22端口)、Telnet(23端口)等,WEB服務(wù)盡可能的不暴露在公網(wǎng);
及時升級設(shè)備固件����,修復(fù)漏洞。
當(dāng)然如果你對以上技術(shù)建議并不是很care���,或者沒有精力做這些配置操作�,但又擔(dān)心家里的物聯(lián)網(wǎng)設(shè)備遭受攻擊�,也許你需要一款具備安全能力的路由器。根據(jù)上文的分析安全路由器應(yīng)至少具備以下能力:
(1) 掃描識別能力
對接入路由器內(nèi)的設(shè)備進行定期掃描��,識別其設(shè)備類型��、開放服務(wù)�、固件版本號等信息,提示使用者關(guān)閉不必要的端口和服務(wù)��,對存在高危的固件版本提示升級���。
(2) 惡意行為監(jiān)測
對路由器內(nèi)設(shè)備的訪問連接行為進行識別����,根據(jù)威脅情報等信息對設(shè)備連接的惡意的IP或URL進行告警或阻斷����,保護內(nèi)網(wǎng)設(shè)備不被惡意主機連接控制����。
隨著家庭物聯(lián)網(wǎng)設(shè)備種類的增多����,其攻擊面也必然會越來越廣,相對于安全問題���,消費者可能更會將精力放在產(chǎn)品的使用�����?���?砂踩珕栴}怎么辦呢?所以如果在家庭的場景中配置一個安全路由器����,讓其來輔助消費者保護家中的智能設(shè)備的安全����,似乎可以很好的解決以上沖突。隨著技術(shù)的進步,人們對智能設(shè)備需求的增加����,物聯(lián)網(wǎng)設(shè)備的攻擊面肯定不僅限于本文提到這些,所以關(guān)于安全路由器的能力可能還需進一步的挖掘和探討���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運維平臺建設(shè)��、動漫設(shè)計�����、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”����、“制度流程”����、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案����,業(yè)務(wù)涵蓋咨詢、評估����、規(guī)劃、管控��、建設(shè)���、培訓(xùn)等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商 。
