2018物聯網威脅新趨勢卡巴斯基：

網絡犯罪分子對物聯網設備的興趣一直在增長：在 2018 上半年，我們觀察到的 IoT 惡意軟件樣本的數量是 2017 年全年的三倍。而 2017 年的數字則是 2016 年的 10 倍。這一趨勢對于未來而言不容樂觀。

因此在這里我們研究了以下三個問題：

• 網絡犯罪分子感染智能設備的攻擊向量;
• 哪些惡意軟件被加載到用戶的系統中;
• 最新的僵尸網絡對設備所有者和受害者來說意味著什么。

2016 年 – 2018 年，卡巴斯基實驗室收集到的 IoT 惡意軟件樣本的數量

最流行的攻擊和感染向量仍然是針對 Telnet 密碼的暴力破解攻擊。在 2018 年第二季度，我們的蜜罐記錄的此類攻擊的數量是其它類型攻擊數量總和的三倍還要多。

在將惡意軟件下載到物聯網設備上時，網絡犯罪分子的首選項是Mirai家族( 20.9% )。

成功破解 Telnet 密碼后下載到 IoT 設備上的惡意軟件 Top10

以下是我們記錄到的 Telnet 攻擊最多的國家的 Top 10 ：

2018 年第二季度，受感染設備數量的地理分布

如圖所示， 2018 年第二季度發起 Telnet 攻擊的 IP 地址(唯一)數量最多的國家是巴西( 23% )，第二名是中國( 17% )。俄羅斯排名第四( 7% )。在整個 2018 年 1 月至 7 月期間，我們的 Telnet 蜜罐共記錄到來自 86560 個 IP 地址(唯一)的超過 1200 萬次攻擊，并且從 27693 個 IP 地址(唯一)下載了惡意軟件。

由于一些智能設備的所有者修改了默認的 Telnet 密碼并使用復雜的密碼，而許多小工具根本不支持這種協議，因此網絡犯罪分子一直在尋找新的感染向量。這一情況還受到惡意軟件開發者之間的競爭所推動(他們之間的競爭導致了暴力破解攻擊效率越來越低)：一旦成功破解了 Telnet 密碼，攻擊者就會更改設備的密碼并阻止對 Telnet 的訪問。

僵尸網絡 Reaper 就是一個使用“替代技術”的很好的例子，它在 2017 年底感染了約 200 萬個 IoT 設備。該僵尸網絡并沒有采用 Telnet 暴力破解攻擊，而是利用已知的軟件漏洞進行傳播。與暴力破解相比，這種傳播方法具有以下優點：

• 能更快地感染設備;
• 對用戶而言，打補丁遠比修改密碼或禁用服務要難得多。

盡管這種方法的實施難度更高，許多惡意軟件作者已經開始青睞這種方法。很快就會出現利用智能設備軟件中的已知漏洞的新木馬。

一、新的攻擊，舊的惡意軟件

為了觀察惡意軟件針對了哪些漏洞，我們分析了企圖連接到我們蜜罐的不同端口的數據。下表是 2018 年第二季度的數據：

絕大多數攻擊仍然是針對Telnet和SSH密碼的暴力破解攻擊。第三大最常見的攻擊是針對SMB服務(文件遠程訪問服務)的攻擊。我們還沒有觀察到針對該服務的IoT惡意軟件。 無論如何，某些版本的SMB中包含嚴重的已知漏洞，如永恒之藍(Windows)和永恒之紅(Linux)。舉個例子，臭名昭著的勒索軟件 WannaCry和門羅幣礦工 EternalMiner就利用了這些漏洞。

下表是 2018 年第二季度攻擊我們蜜罐的受感染 IoT 設備的類型分布：

我們可以看到，運行 RouterOS 的 MikroTik 設備在列表中一騎絕塵，其原因應該是 Chimay-Red 漏洞。有趣的是，列表中還包括 33 個美諾洗碗機(占攻擊總數的 0.68% )。它們很可能是通過其固件中的 PST10web 服務器漏洞 CVE-2017-7240被感染的(該漏洞于 2017 年 3 月公開)。

1. 端口7547

針對端口 7547 上的遠程設備管理服務( TR-069 協議)的攻擊十分常見。根據 Shodan 的查詢結果，全世界有超過 4000 萬臺設備的這個端口是打開的。這還是在該漏洞最近導致約 100 萬德國電信路由器被感染，更不用說用于分發惡意軟件家族 Mirai 和 Hajime 之后。

另一類攻擊則是利用了運行 RouterOS 版本 6.38.4 之下的 MikroTik 路由器中的漏洞 Chimay-Red。在 2018 年 3 月，該攻擊被積極用于分發 Hajime 。

2. 網絡攝像機

網絡犯罪分子也沒有忽視網絡攝像機。 2017 年 3 月研究人員在 GoAhead 設備的軟件中發現了幾個嚴重的漏洞。在相關信息被披露的一個月后，利用這些漏洞的 Gafgyt 和 Persirai 木馬新變體出現了。僅在一周內，這些惡意程序就積極感染了 57000 個設備。

2018 年 6 月 1 日， XionMaiuc-httpd web 服務器中的漏洞( CVE-2018-10088 )的相關PoC被公開。該產品被用于一些中國制造的智能設備之中(如 KKMoonDVRs )。一天之內，針對這些設備的有記錄的掃描嘗試增至三倍。這一激增的罪魁禍首就是 Satori 木馬，其以之前針對GPON路由器的攻擊而聞名。

二、終端用戶面臨的新惡意軟件和威脅

1. DDoS攻擊

與以前一樣，物聯網惡意軟件的主要目的是進行 DDoS 攻擊。受感染的智能設備成為僵尸網絡的一部分，根據相關命令攻擊一個指定的地址，耗盡該主機用于處理真實用戶請求的資源和能力。木馬家族 Mirai 及其變體(尤其是 Hajime )仍在部署此類攻擊。

這可能是對終端用戶危害最小的情況了。最壞情況(很少發生)也就是受感染設備的擁有者被 ISP 拉黑。而且通常情況下簡單地重啟設備就可以“治愈”該設備。

2. 加密貨幣挖掘

另一類有效荷載與加密貨幣有關。例如， IoT 惡意軟件可以在受感染設備上安裝惡意礦工。但是鑒于智能設備的算力很低，這種攻擊的可行性還是一個疑問，即使它們的數量可能很大。

Satori 木馬的創建者發明了一種更為狡猾和可行的獲取加密貨幣的方法。他將受感染的 IoT 設備作為訪問高性能計算機的一種鑰匙：第一步，攻擊者首先試圖利用已知漏洞感染盡可能多的路由器；第二步，利用受感染的路由器和以太坊挖礦軟件 Claymore 的遠程管理工具中的漏洞 CVE-2018-1000049，將錢包地址替換成自己的。

3. 數據竊取

在 2018 年 5 月檢測到的 VPNFilter木馬則追求其它的目標。它首先攔截受感染設備的流量，然后從中提取重要的數據(用戶名、密碼等)并發送到網絡犯罪分子的服務器。下面是 VPNFilter 的主要功能：

• 模塊化架構。該惡意軟件的創建者可隨時添加新的功能。例如， 2018 年 6 月初檢測到一個用于向截獲的網頁注入 JavaScript 代碼的新模塊。
• 自啟動機制。該木馬將自己寫入標準 Linux 計劃任務程序 crontab ，還可以修改設備的非易失性存儲器( NVRAM )中的配置設置。
• 使用 TOR 與 C&C 服務器進行通信。
• 能夠自毀并使設備“變磚”。一旦接收到相關命令，該木馬就會自我刪除并用垃圾數據覆蓋固件的關鍵部分，然后重啟設備。

該木馬的傳播方法仍然未知：其代碼中沒有包含自我傳播機制。無論如何，我們傾向于認為它通過利用設備軟件中的已知漏洞來感染設備。

第一份關于VPNFilter的報告稱其感染了約 50 萬個設備。從那時起，更多的設備被感染了，并且易受攻擊的設備廠商列表大大加長了。而這些廠商的設備不僅在公司網絡中使用，而且常被用作家用路由器，這使得情況變得更糟。

三、結論

智能設備正在崛起， 有人預測稱 2020 年智能設備的數量將超過世界總人口數量的好幾倍。然而廠商們還是沒有重視設備的安全性：在設備初始化設置過程中，他們沒有提醒用戶去修改默認密碼;他們也沒有向用戶發布關于新固件版本的通知;甚至更新過程本身對普通用戶而言都顯得十分復雜。這使得物聯網設備成為網絡犯罪分子的主要攻擊目標，甚至比個人計算機更容易受到感染。物聯網設備通常在家庭基礎設施中扮演了一個重要的角色：有些用于管理網絡流量，有些用于拍攝監控視頻，還有一些用于控制家用設備(如空調等)。

針對智能設備的惡意軟件不僅在數量上增長，而且在質量上也在增長。越來越多的 exploits (漏洞利用程序)被網絡犯罪分子開發出來。而除了傳統的 DDoS 攻擊之外，被感染的設備還被用于竊取個人數據和挖掘加密貨幣。

下面是一些可以幫助減少智能設備感染風險的小技巧：

• 除非絕對必要，否則禁止從外部網絡訪問設備;
• 定期重啟有助于清除已感染的惡意軟件(盡管大多數情況下還存在再次感染的風險);
• 定期檢查是否存在新版本的固件并進行更新;
• 使用復雜密碼(長度至少為 8 位，包含大小寫字母、數字和特殊字符);
• 在初始設置時更改出廠密碼(即使設備未提示您這樣做);
• 如果選項存在，則關閉 / 禁用不使用的端口。例如，如果您不打算通過 Telnet (占用 TCP 端口 23 )連接到路由器，則最好禁用該端口以降低被入侵的風險。