近年來，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展以及國家政策的大力支持，物聯(lián)網(wǎng)這一領(lǐng)域也跟著水漲船高，各項具有應(yīng)用意義的項目也在不斷拓展，比如智能家居，視頻監(jiān)控系統(tǒng)等，身處千里之外，卻能知悉家中的一舉一動，這也體現(xiàn)了“萬物互聯(lián)”的概念。其中，作為物聯(lián)網(wǎng)的終端節(jié)點(diǎn)，比如智能路由器，視頻監(jiān)控器等設(shè)備，隨著大眾將目光逐步轉(zhuǎn)移到物聯(lián)網(wǎng)時，這些設(shè)備因自身的安全性問題也遭受到來自惡意攻擊者的覬覦。

[[172868]]

據(jù)悉，目前針對物聯(lián)網(wǎng)設(shè)備的惡意軟件越來越普遍了，基本每個月都會發(fā)現(xiàn)新的變種。而據(jù)分析，在過去的兩年里，發(fā)現(xiàn)的所有物聯(lián)網(wǎng)惡意軟件基本都是同樣的運(yùn)作原理思路。一般來說，使用釣魚方式或者自動化工具來進(jìn)行暴力破解物聯(lián)網(wǎng)設(shè)備，通過密碼字典嘗試批量猜解物聯(lián)網(wǎng)設(shè)備的管理員賬戶及密碼，來開始對設(shè)備的感染。

物聯(lián)網(wǎng)僵尸擴(kuò)張的源頭：默認(rèn)設(shè)備登錄口令

當(dāng)設(shè)備運(yùn)行后，如果用戶沒有及時更改設(shè)備的默認(rèn)登陸口令，攻擊者往往可針對這些設(shè)備進(jìn)行暴破，輕而易舉便可進(jìn)入到該設(shè)備的管理界面。此后，攻擊者便可植入惡意代碼到其中，并使之與C&C服務(wù)器通訊，將之融合到僵尸網(wǎng)絡(luò)中。而這些僵尸網(wǎng)絡(luò)主要用以發(fā)動DDoS攻擊，或者作為代理，向其他物聯(lián)網(wǎng)設(shè)備實施暴力破解。

在近年八月份，卡巴斯基發(fā)現(xiàn)基于Linux設(shè)備節(jié)點(diǎn)組成的網(wǎng)絡(luò)，近年來在地下市場已逐步成為主流的DDoS攻擊的僵尸網(wǎng)絡(luò)。

在大部分案例中，物聯(lián)網(wǎng)設(shè)備往往被集中起來，組成僵尸網(wǎng)絡(luò)，從而發(fā)起DDoS攻擊，僅僅在少數(shù)定向攻擊的案例中，我們會發(fā)現(xiàn)某些攻擊者，利用其中物聯(lián)網(wǎng)中的某一設(shè)備，作為網(wǎng)絡(luò)中的代理節(jié)點(diǎn)來進(jìn)行攻擊。

前文所呈現(xiàn)的入侵攻擊，一方面，還是因為用戶的安全意識較為薄弱，在使用物聯(lián)網(wǎng)設(shè)備過程中，并沒有對密碼進(jìn)行強(qiáng)化或者更改，導(dǎo)致攻擊者可輕而易舉地暴破訪問設(shè)備。另一方面，也是因為相應(yīng)的物聯(lián)網(wǎng)終端設(shè)備存在安全漏洞，攻擊者利用該漏洞來對設(shè)備進(jìn)行控制，從而才可將對設(shè)備進(jìn)行感染并融入到其僵尸網(wǎng)絡(luò)中。而根據(jù)安全公司賽門鐵克的全球統(tǒng)計，以下表單為目前物聯(lián)網(wǎng)設(shè)備Top 10 的弱口令(其中賬戶和同一行的密碼并不對應(yīng))。

如果針對我們自身使用的系統(tǒng)及設(shè)備如樹莓派或者ubantu等，從目前的密碼強(qiáng)度進(jìn)行審計，是否也存在相應(yīng)的弱口令呢?

根據(jù)來自賽門鐵克的研究，近年的物聯(lián)網(wǎng)惡意軟件往往帶有跨平臺特性，能夠有效針對所有的主流硬件平臺進(jìn)行攻擊，如x86, ARM, MIPS以及 MIPSEL平臺等。除了上述的部分，在某些案例中，也有一些惡意軟件家族，主要針對其他平臺或者架構(gòu)的，如PowerPC, SuperH以及 SPARC架構(gòu)的。

物聯(lián)網(wǎng)惡意軟件可自我進(jìn)行復(fù)制

實際上，通過使用工具，像Shodan(具體還請參考《如何在15分鐘內(nèi)利用Shodan對企業(yè)進(jìn)行安全審計?》以及《安全搜索引擎Shodan(搜蛋)命令行模式使用TIPS》)，以及自動化暴破腳本，攻擊者已經(jīng)很少需要手工進(jìn)行操作了，雖然偶爾可能會碰到需要手工操作的案例。而當(dāng)前的物聯(lián)網(wǎng)惡意軟件甚至有了蠕蟲的特性，即是可以傳播給其他關(guān)聯(lián)的設(shè)備，例如 Ubiquiti 蠕蟲。

Ubiquiti ，其全稱為優(yōu)倍快網(wǎng)絡(luò)公司，簡稱UBNT，我們可以發(fā)現(xiàn)其在前文物聯(lián)網(wǎng)設(shè)備弱口令Top 10的排名中也是榜上有名的。該公司主要生產(chǎn)無線網(wǎng)絡(luò)產(chǎn)品，包括像WiFi覆蓋AP、點(diǎn)對點(diǎn)網(wǎng)橋、點(diǎn)對多點(diǎn)網(wǎng)橋、WiFi客戶端(CPE)等。而Ubiquiti蠕蟲，被發(fā)現(xiàn)于其AirOS路由器，主要可通過利用一個存在路由器login.cgi文件中的任意文件上傳漏洞(詳情請參看進(jìn)行了解：https://hackerone.com/reports/73480)，上傳并執(zhí)行惡意文件。在已知的案例中，攻擊者創(chuàng)建了一種可自我復(fù)制的病毒，通過利用Ubiquiti產(chǎn)品的默認(rèn)口令(賬戶為ubnt，密碼為ubnt)登錄路由器，而利用上述漏洞，蠕蟲會在路由器上創(chuàng)建一個后門賬戶，并利用已有權(quán)限向其他設(shè)備進(jìn)行復(fù)制傳播。而該蠕蟲病毒也被稱為Ubiquiti蠕蟲。

因自我復(fù)制的特性，物聯(lián)網(wǎng)惡意軟件可“幫助”攻擊者建立起一個頗具規(guī)模的僵尸網(wǎng)絡(luò)，據(jù)目前的統(tǒng)計，至少存在一百萬個安全性極低的物聯(lián)網(wǎng)設(shè)備向互聯(lián)網(wǎng)開放其敏感端口。

感染物聯(lián)網(wǎng)設(shè)備的主流惡意軟件有哪些?

如前文所述，這些物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)往往被利用來實施不同類型的DDoS攻擊。如在近期，infosec記者報道了一次由物聯(lián)網(wǎng)設(shè)備組成的網(wǎng)絡(luò)發(fā)起的DDoS攻擊，其最高峰流量可達(dá)620Gbps。

而作為感染設(shè)備的惡意軟件，到目前，究竟有哪些類型或者種類呢?我們可以往下看看。

據(jù)安全公司賽門鐵克分析統(tǒng)計，目前最為主流的物聯(lián)網(wǎng)惡意軟件家族如下，

Linux.Darlloz (aka Zollard),
Linux.Aidra (Linux.Lightaidra)
Linux.Xorddos (aka XOR.DDos)
Linux.Gafgyt (aka GayFgt, Bashlite),
Linux.Ballpit (aka LizardStresser)
Linux.Moose, Linux.Dofloo (aka AES.DDoS, Mr. Black)
Linux.Pinscan / Linux.Pinscan.B (aka PNScan)
Linux.Kaiten / Linux.Kaiten.B (aka Tsunami)
Linux.Routrem (aka Remainten, KTN-Remastered, KTN-RM)
Linux.Wifatch (aka Ifwatch)
Linux.LuaBot

物聯(lián)網(wǎng)設(shè)備廠商缺乏足夠的安全響應(yīng)能力

根據(jù)統(tǒng)計的數(shù)據(jù)，缺乏安全性的物聯(lián)網(wǎng)設(shè)備在全球范圍內(nèi)普遍存在。其中來自中國安全性較低的設(shè)備，約占設(shè)備總數(shù)量的34%，其次是美國，約占28%，接下來為俄羅斯，約占9%，詳細(xì)如下圖。

實際上，出現(xiàn)安全問題的設(shè)備往往來自于同一個公司的產(chǎn)品。比如：

此前有過報道的，關(guān)于發(fā)現(xiàn)將近25000個攝像頭被感染為僵尸網(wǎng)絡(luò)節(jié)點(diǎn)一事，正是由于國內(nèi)一家生產(chǎn)硬盤錄像機(jī)的廠商，未能及時發(fā)布升級固件，造成該公司生產(chǎn)的大量攝像頭被入侵的情況。該公司的硬盤錄像機(jī)被全球約70多家公司貼牌出售，而當(dāng)時應(yīng)該也是有很多用戶并不能及時修復(fù)他們的設(shè)備，因為銷售廠商他們也在等待這家位于中國的廠商發(fā)布的補(bǔ)丁，來修復(fù)漏洞。

結(jié)語

隨著物聯(lián)網(wǎng)的發(fā)展，特別是智能家居逐步深入到家庭的每個角落中，物聯(lián)網(wǎng)設(shè)備的安全性已經(jīng)與每個人，每個家庭緊緊掛鉤。提高物聯(lián)網(wǎng)設(shè)備的安全性以及設(shè)備廠商的安全響應(yīng)能力已經(jīng)是迫在眉睫。同時用戶在日常使用設(shè)備的過程中，應(yīng)提高安全意識以及培養(yǎng)良好的安全習(xí)慣，比如新裝設(shè)備應(yīng)及時更改并設(shè)置高強(qiáng)度密碼，定期查看設(shè)備登錄記錄等，如有可能，也可關(guān)閉設(shè)備的敏感服務(wù)端口，盡可能降低設(shè)備被入侵風(fēng)險。