【安全趋势】卡巴斯基2018上半年物联网威胁的新趋势
发布时间 2018-10-31因此在这里我们研究了以下三个问题:网络犯罪分子感染智能设备的攻击向量、哪些恶意软件被加载到用户的系统中以及最新的僵尸网络对设备所有者和受害者来说意味着什么。
2016年 – 2018年,卡巴斯基实验室收集到的IoT恶意软件样本的数量
在将恶意软件下载到物联网设备上时,网络犯罪分子的首选项是Mirai家族(20.9%)。
以下是我们记录到的Telnet攻击最多的国家的Top 10:
2018年第二季度,受感染设备数量的地理分布
由于一些智能设备的所有者修改了默认的Telnet密码并使用复杂的密码,而许多小工具根本不支持这种协议,因此网络犯罪分子一直在寻找新的感染向量。这一情况还受到恶意软件开发者之间的竞争所推动(他们之间的竞争导致了暴力破解攻击效率越来越低):一旦成功破解了Telnet密码,攻击者就会更改设备的密码并阻止对Telnet的访问。
僵尸网络Reaper就是一个使用“替代技术”的很好的例子,它在2017年底感染了约200万个IoT设备。该僵尸网络并没有采用Telnet暴力破解攻击,而是利用已知的软件漏洞进行传播:
GoAhead网络摄像机中的漏洞
MVPower CCTV摄像机中的漏洞
Netgear ReadyNASSurveillance中的漏洞
Vacron NVR中的漏洞
Netgear DGN设备中的漏洞
Linksys E1500/E2500路由器中的漏洞
D-Link DIR-600和DIR 300 – HW rev B1路由器中的漏洞
AVTech设备中的漏洞
与暴力破解相比,这种传播方法具有以下优点:
对用户而言,打补丁远比修改密码或禁用服务要难得多
新的攻击,旧的恶意软件
下表是2018年第二季度攻击我们蜜罐的受感染IoT设备的类型分布:绝大多数攻击仍然是针对Telnet和SSH密码的暴力破解攻击。第三大最常见的攻击是针对SMB服务(文件远程访问服务)的攻击。我们还没有观察到针对该服务的IoT恶意软件。无论如何,某些版本的SMB中包含严重的已知漏洞,如永恒之蓝(Windows)和永恒之红(Linux)。举个例子,臭名昭著的勒索软件WannaCry和门罗币矿工 EternalMiner就利用了这些漏洞。
我们可以看到,运行RouterOS的MikroTik设备在列表中一骑绝尘,其原因应该是Chimay-Red漏洞。
7547端口
另一类攻击则是利用了运行RouterOS版本6.38.4之下的MikroTik路由器中的漏洞Chimay-Red。在2018年3月,该攻击被积极用于分发Hajime。
网络摄像机
网络犯罪分子也没有忽视网络摄像机。2017年3月研究人员在GoAhead设备的软件中发现了几个严重的漏洞。在相关信息被披露的一个月后,利用这些漏洞的Gafgyt和Persirai木马新变体出现了。仅在一周内,这些恶意程序就积极感染了57000个设备。
终端用户面临的新恶意软件和威胁
DDoS攻击
与以前一样,物联网恶意软件的主要目的是进行DDoS攻击。受感染的智能设备成为僵尸网络的一部分,根据相关命令攻击一个指定的地址,耗尽该主机用于处理真实用户请求的资源和能力。木马家族Mirai及其变体(尤其是Hajime)仍在部署此类攻击。
这可能是对终端用户危害最小的情况了。最坏情况(很少发生)也就是受感染设备的拥有者被ISP拉黑。而且通常情况下简单地重启设备就可以“治愈”该设备。
加密货币挖掘
Satori木马的创建者发明了一种更为狡猾和可行的获取加密货币的方法。他将受感染的IoT设备作为访问高性能计算机的一种钥匙:
第一步,攻击者首先试图利用已知漏洞感染尽可能多的路由器,这些漏洞包括:
CVE 2017-17215 –华为HG532系列路由器固件中的远程代码执行漏洞
CVE-2018-10561, CVE-2018-10562 –Dasan GPON路由器中的身份认证绕过漏洞和任意代码执行漏洞
CVE-2018-10088 –XiongMai uc-httpd 1.0.0中的缓冲区溢出漏洞,该产品被用于部分中国制造的路由器和智能设备的固件中
数据窃取
在2018年5月检测到的VPNFilter木马则追求其它的目标。它首先拦截受感染设备的流量,然后从中提取重要的数据(用户名、密码等)并发送到网络犯罪分子的服务器。下面是VPNFilter的主要功能:
自启动机制。该木马将自己写入标准Linux计划任务程序crontab,还可以修改设备的非易失性存储器(NVRAM)中的配置设置。
使用TOR与C&C服务器进行通信。
能够自毁并使设备“变砖”。一旦接收到相关命令,该木马就会自我删除并用垃圾数据覆盖固件的关键部分,然后重启设备。
该木马的传播方法仍然未知:其代码中没有包含自我传播机制。无论如何,我们倾向于认为它通过利用设备软件中的已知漏洞来感染设备。
第一份关于VPNFilter的报告称其感染了约50万个设备。从那时起,更多的设备被感染了,并且易受攻击的设备厂商列表大大加长了。到六月中旬,其目标包括以下品牌的设备:
ASUS
D-LinkHuawei
Linksys
MikroTik
Netgear
QNAP
TP-Link
Ubiquiti
Upvel
ZTE
由于这些厂商的设备不仅在公司网络中使用,而且常被用作家用路由器,这使得情况变得更糟。
结论
针对智能设备的恶意软件不仅在数量上增长,而且在质量上也在增长。越来越多的exploits(漏洞利用程序)被网络犯罪分子开发出来。而除了传统的DDoS攻击之外,被感染的设备还被用于窃取个人数据和挖掘加密货币。
下面是一些可以帮助减少智能设备感染风险的小技巧:
定期重启有助于清除已感染的恶意软件(尽管大多数情况下还存在再次感染的风险)
定期检查是否存在新版本的固件并进行更新
使用复杂密码(长度至少为8位,包含大小写字母、数字和特殊字符)
在初始设置时更改出厂密码(即使设备未提示您这样做)
如果存在该选项,则关闭/禁用不使用的端口。例如,如果您不打算通过Telnet(占用TCP端口23)连接到路由器,则最好禁用该端口以降低被入侵的风险。
原文链接:https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/