近些年,隨著網路的不斷髮展,網路使用普及率升高,網路安全問題愈發嚴峻。不少不法分子透過利用裝置漏洞在裝置上執行惡意軟體,實現攻擊破壞等行為。回顧2018年網路安全事件,攻擊者惡意行為涉及感染物聯網裝置、買賣攻擊服務、肆意發動破壞攻擊。物聯網安全形勢益加嚴峻。
1
暗網出現利用物聯網裝置的
DDoSaaS
2018年2月,Radware的資訊保安專家Pascal Geenens分析了一個DDoS攻擊組織,該組織利用一個名為JenX的惡意帶軟體感染的物聯網裝置發動DDoS攻擊,他們已在暗網中出租DDoS服務。儘管JenX感染的物聯網裝置數量未知,但是從這個組織可以發起290-300Gbps的DDoS攻擊來看,其控制的裝置數量至少有2。9萬臺。具體而言,JenX可分別利用CVE-2017-17215和CVE-2014-8361感染華為HG532路由器和執行Realtek SDK的裝置,一般情況下,這類裝置的頻寬約100Mbps,上傳頻寬約10Mbps。和完全分散式殭屍網路Mirai不同的是,該殭屍網路由伺服器完成漏洞利用和殭屍主機管理的任務。在7月,駭客利用CVE-2017-17215僅僅在一天內就構建了一個18000臺殭屍網路主機構成的殭屍網路。可見JenX的影響面之大。
惡意軟體JenX構建了中心化的物聯網殭屍網路,其發動的DDoS攻擊達到200Gbps以上,足以證明其控制的裝置數量相當多。在暗網被作DDoS服務出租用,足見黑產武器化之先進、商業化之成熟。物聯網廠商需要及時更新補丁,並引導客戶進行升級,這樣也有助於降低暴露在網際網路上的物聯網裝置被當做殭屍主機利用的風險。
2
Hide’n Seek
殭屍網路感染了
9
萬臺物聯網裝置
2018年1月,Bitdefender發現了一個新的殭屍網路並將其命名為Hide’n Seek,到了2018年4月份,已經有9萬臺裝置被感染併成為P2P的殭屍主機。Hide’n Seek最後一次更新在2018年9月,其武器庫在添加了安卓裝置的ADB服務的埠探測和利用後,感染的裝置數量大大增加。
Hide’n Seek利用多個已知的遠端命令執行漏洞感染執行Linux作業系統的裝置,如路由器、攝像頭和伺服器。2018年9月,Bitdefender研究員Liviu Arsene在新的樣本中找到了利用ADB服務的程式碼。也就是說,Hide’n Seek也會感染暴露在網際網路上的開啟ADB網路除錯服務的安卓裝置,包括智慧電視、機頂盒、人臉識別門禁,車載娛樂系統等。Liviu Arsene表示,雖然從現有的證據還不能夠判定該殭屍網路運營商的下一階段目標,但他們的確一直在為其增加新的能力,這很可能是在為控制儘可能多的裝置做準備。
目前沒有證據表明攻擊者是否已經利用Hide’n Seek殭屍網路發動了攻擊,但是從其控制的主機數量來看,能發動的攻擊最大可以達到900Gbps,這已經接近了2016年Mirai殭屍網路的DDoS攻擊高峰。如果使用者購買並部署了DDoS緩解相關的服務或者裝置,需要及時做好相應的檢測與防護。
3
LoTroop針對金融機構的多起
DDoS攻擊活動
在2017年10月29日,Check Point在其釋出的技術報告中表示,他們的安全團隊發現了一個代號為LoTroop的新型殭屍網路。網路安全公司RecordedFuture的威脅研究小組Inslkt Group基於殭屍網路基礎設施的使用和攻擊的時間的分析,推斷了該殭屍網路在短短一天內就連續發動了三次針對不同金融機構的DDoS攻擊。
第一起攻擊事件發生在2018年1月28日18:30左右,至少1。3萬臺擁有唯一IP地址的物聯網裝置實施了DNS放大攻擊,攻擊峰值流量達到了30Gbps。第二起攻擊事件幾乎是與第一起攻擊事件同時發生的。Inslkt Group認為這兩起攻擊是由相同的Mirai變種殭屍網路發起的,因為在第二次攻擊事件中,與受害者企業的服務進行了通訊的26個IP地址中,有19個參與了對第一家金融機構的攻擊。2018年1月28日21:00左右,僅在前兩起事件發生後的短短几個小時內,又發生了第三起針對TCP443埠的攻擊事件,儘管技術上的細節沒有被公開,但三起事件的時間之短,是可能存在相關性的。
根據之前對惡意軟體的分析,Inslkt Group借用了一部分Mirai的程式碼。與Mirai類似,該惡意軟體針對的是網路裝置,TP-Link、Avtech、MlkroTlk、Linksys、Synology和GoAhead等公司製造的路由器和攝像頭。據Inslkt Group稱,在這個殭屍網路中,有80%的裝置是受感染的MikroTik路由器,其餘20%由其他多種物聯網裝置組成,包括Ubiquity、Cisco和ZyXEL路由器等裝置。
繼2016年Mirai事件之後,多種惡意軟體家族對物聯網裝置發起攻擊,使大量脆弱的物聯網裝置淪為殭屍網路的一部分,成為DDoS攻擊的直接攻擊者。Mirai家族,例如本事件中的LoTroop,以及其他如SORA、OMG、OWARI、Omni等各類變種惡意軟體也被檢測到有不同程度的活躍情況。其他家族如Gafgyt在2018年也有一定的活躍程度,隨著物聯網裝置的逐步廣泛應用,對物聯網裝置惡意軟體檢測能力和修復能力也需要安全廠商、物聯網裝置生產廠商和物聯網使用者一起建立和完善。
4
VPNFilter感染約50萬臺物聯網裝置
或與國家行為有關
2018年5月23日,思科的Talos團隊在其官網釋出了一個報告,公開了一個名為“VPNFilter”的惡意軟體的攻擊行為。經過與合作伙伴、執法部門的合作,該團隊最終估算出有至少50萬臺裝置受到感染,分部範圍超過了54個國家。2018年6月8日,思科更新了該惡意軟體影響的裝置廠商,包括:華碩、友訊、華為、Linksys、MikroTik、Netgear、QNAP、普聯、Ubiquiti、Upvel和中興。VPNFilter控制的50萬臺裝置均為網路裝置,如路由器、防火牆等,試想這些裝置的網路轉發功能遭到破壞,受到影響的裝置很可能從50萬臺增加到數百萬臺。
與其他事件不同的是,思科推測該惡意軟體可能與國家行為有關,原因是:VPNFilter利用了BlackEnergy的一部分程式碼(BlackEnergy的攻擊是在2015年發生的,也就是著名的烏克蘭電廠事件,22。5萬的烏克蘭人民在黑暗中度過了6小時)。2018年7月13日,烏克蘭聲稱攔截了一起針對某化工廠的攻擊行為,攻擊手法也是藉助了VPNFilter惡意軟體,意欲破壞化工廠的正常運轉,烏克蘭反間諜部門將該攻擊歸於俄羅斯的入侵。
VPNFilter的原理比較複雜,分三個階段,階段1建立加密連線(非標準的RC4),並從photobucket。com下載圖片,從圖片的地理位置資訊中解析出C&C的IP;階段2包含覆蓋硬碟(使裝置變轉)並與C&C伺服器通訊配置代理;階段3嗅探流經裝置上的資料包,並嘗試找到認證相關的資訊。
正因是疑似國家行為,VPNFilter惡意軟體的功能和實現比較複雜,大大增加了研究員分析的難度,安全廠商及時捕獲並分析到該軟體的惡意行為,有助於及時針對該惡意軟體做好檢測與預防。
5
臺積電生產線被勒索
停產
損失超1
億
2018年8月3日~2018年8月6日,中國臺灣的臺積電有三家工廠因遭遇病毒而停工,造成虧損超過十億元人民幣。據臺積電總裁魏哲家所說,該病毒是因為工人沒有按照安全規範,在上線前對新產品進行隔離並做安全檢查就直接上線,導致惡意軟體感染了生產線和總部。魏哲家稱目前儘量減少因延遲交貨對客戶的影響是努力方向,同時也表明“不認為人為定製病毒針對臺積電”。
臺積電這次事件的時間比較巧合,其一,該事件剛好是蘋果、華為的釋出會前期,應是生產緊張的階段;其二,該事件剛好發生在原總裁張忠謀交接新班子的兩個月後。眾人對此說法不一。不過該事件得到妥善處理,後續沒有因這次病毒感染事件產生其他不良影響。
內部有大量的工控裝置的企業,其裝置和系統長期不更新,導致安全風險非常大。隨著勒索人家、國家層面的惡意攻擊頻發,石油化工、冶金、電力、軌道交通、菸草等國家重點行業面臨前所未有的網路安全威脅。不僅僅是裝置老舊的問題會導致企業面臨安全風險,其內部人員管理也需要跟進物聯網發展潮流;2018年11月底,三星的11名員工買賣OLED曲面屏技術,牟利155億韓元。面臨這種情況,企業不僅要對各類裝置設定安全策略,更應該在企業管理方面增加安全方面的投入,確保公司的網路安全同時,也要確保資訊不會因為人員離職而被洩露。
6
Upnproxy脆弱性使4.5萬個內網敞開
威脅眾多企業和家庭
2018年11月28日,Akamai在其部落格網站的一篇博文中提到:在350萬臺裝置中,有27。7萬臺執行著存在漏洞的upnp服務,已確認超過4。5萬臺裝置在Upnp NAT注入活動中受到感染。這些注入攻擊將路由器背後的內網裝置暴露到網際網路上,將有助於駭客滲透進更多的內網裝置,進一步攻擊家庭,威脅智慧家居的執行安全和個人隱私,甚至在BYOD場景中繼續滲透企業。
其實,早在2013年Rapid7就釋出了《Security Flaws in Universal Plug and Play》,報告總結了對Upnp脆弱性的研究結論,其中包含了對網際網路上暴露的資產做漏洞掃描的實驗。所有暴露在網際網路上的裝置中,超過8000萬臺裝置開放了Upnp服務。報告中闡述的多種攻擊手段中至少一種會影響其中約4000-5000萬的裝置,當中有2300萬臺裝置,僅僅透過傳送單個UDP資料包,就可以使裝置執行系統命令。
國內的IPv4的地址比較少,網路地址翻譯(NAT)技術可以很好地解決地址不夠用的問題,在閘道器處設定NAT可以解決將內網某些服務對映到外網以便訪問的需求;此外,NAT向外部遮蔽了非必要的內網服務,閘道器建立了內網裝置與外部使用者之間的邊界,其他的服務在閘道器處得到保護。Upnp技術在閘道器內的整合,使NAT的設定不但可以手動操作,還可以由安裝在內網機器的客戶端開啟Upnp協議後,與閘道器互動:閘道器可開啟一個埠,將內網中的服務對映到外網。所以,為便於闡述,分為以下三個場景:
>>>>
閘道器沒有Upnp功能。
>>>>
閘道器有Upnp功能,而內網裝置不具備和閘道器Upnp協議互動的功能。
>>>>
閘道器有Upnp功能,且內網裝置具備和閘道器Upnp協議互動的功能。
假設Upnp協議或服務存在漏洞,且該漏洞能被攻擊者利用,利用效果是:攻擊者能把內網中的任意主機的任意埠對映到閘道器的埠上,那麼,場景2和場景3的內網裝置,如果開啟了SSH、FTP等服務,很有可能被攻擊者攻陷。在技術上,Upnproxy是向閘道器的XML等配置檔案中注入NAT表,從而配置閘道器使內網服務透過閘道器的埠暴露。這使得閘道器如同一個攻擊者用來訪問內網服務的代理伺服器,因而被稱為Upnproxy。
路由器和光貓作為家庭寬頻上網的必備裝置,更應該注重對網路邊界的防護,Upnproxy脆弱性提醒了物聯網廠商需要在閘道器處加強防護,尤其是對內部服務的訪問控制。一旦被攻擊者滲透進家庭和企業內網,則面臨隱私洩露,重要資料被勒索、甚至危害人身安全等風險。
7
20萬臺路由器被黑導致
內網裝置惡意挖礦
MikroTik路由器開放了一個管理路由器的服務,可透過專用的軟體(Winbox)密碼認證後訪問。在2018年3月份,MikroTik透過部落格公佈了一個WinBox漏洞。同年8月,網際網路上約20萬臺未更新韌體的MikroTik的路由器被發現與惡意的挖礦行為有關。在此次事件中,攻擊者透過向用戶瀏覽的頁面中植入Coinhive挖礦指令碼,迫使使用者在不知情的情況下,犧牲內網裝置的算力挖掘Monero加密貨幣,並將獲益轉發給攻擊者的錢包地址。
利用3月公佈的漏洞,攻擊者可以透過Winbox從裝置讀取檔案,獲得對路由器的未經身份驗證的遠端管理員訪問許可權,從而管理路由器。成功登陸路由器後,攻擊者啟用HTTP代理功能將所有HTTP403的錯誤頁面重定向到一個自己建立好的包含Coinhive挖礦指令碼的頁面,這樣使用者在瀏覽到任何型別的錯誤頁面時,都會跳轉到這個包含挖礦指令碼的自定義頁面進行挖礦。
在2018年10月,一位名為icematcha的研究人員研究了該漏洞並詳細闡述了進一步利用後門控制MikroTik路由器並獲取了Linux系統的Bash,這次研究表明攻擊者有途徑利用該漏洞構建一個龐大的殭屍網路。持續跟蹤Coinhive家族控制的物聯網裝置,並詳細分析了該家族的挖礦裝置的分佈情況。儘管廠商及時發現並修補了該漏洞,但是一部分使用者並沒有及時升級韌體,使得攻擊者趁機攻陷了20萬臺裝置。可見定期獲取廠家的安全通告、及時更新和加固裝置是非常必要的。
小 結
回顧2018年幾個主要物聯網安全事件,其中前3個和DDoS攻擊的事件相關,DDoSaaS事件的出現,表明感染物聯網裝置、構建殭屍網路、直接發動DDoS可能已經不是最重要的目的,攻擊者還會藉助買賣DDoS服務牟利。由於物聯網裝置普遍存在脆弱點,今後暗網等灰色地帶會經常出現基於物聯網殭屍網路的網路攻擊服務的交易。不論是誰,可能僅需20美元即可完成一次高達300Gbps的DDoS攻擊,物聯網相關的攻擊的頻次和強度無疑會增加,物聯網裝置的安全治理應引起足夠重視。
中間兩個事件分別是國家和大型企業的安全相關,不僅僅包括物聯網裝置自身被攻擊,還出現了計算機網路的攻擊也會破壞物聯網/工業網際網路的執行安全這樣新型的安全問題,如臺積電的裝置被感染後停工了三天,影響了部分晶片的供應。甚至有些攻擊夾帶著國家行為,如烏克蘭成功攔截了VPNFilter針對化工廠的攻擊行為。
後兩個事件中,一個事件是路由器的網路邊界被突破導致的更多內網裝置被暴露出來。可以想象,如果攻擊者先將路由器等物聯網裝置開啟Upnp服務,然後新建SSH服務、FTP服務、Telnet服務的埠對映,攻陷內網的主機,那麼,攻擊者控制的殭屍主機會大量增加,再結合放大攻擊等攻擊技巧,可將DDoS攻擊的峰值上升一個數量級。另一個事件是路由器被攻擊者利用,誘使內網裝置挖礦,可見一些攻擊者在某些品牌的路由器的認知程度上已經達到專家級別,想要理清攻擊者的攻擊原理需要花費一定精力,這無疑將增大物聯網安全防護難度。
總之,感染物聯網裝置、買賣攻擊服務、肆意發動攻擊,其中甚至有國家行為的影子,這些事件表明針對物聯網裝置或由物聯網裝置發動的攻擊對各國的關鍵資訊基礎設施安全構成了嚴重的威脅,物聯網安全形勢依然嚴峻。
——資料來源於格物實驗室《2018物聯網安全年報》
—END—
雷達及高效能嵌入式計算機
