2017年國內惡意物聯網IP分析
一、引言
近兩年來,隨著物聯網相關技術的發展,幾乎所有的家用電器都可以接入網絡。智能化的應用給生活帶來便利的同時,其副作用也隨之而生。2016年,攻擊者使用Mirai病毒用僵尸物聯網設備讓一個新聞網站的重要防火墻癱瘓之后,緊接著Dyn DNS service遭受到攻擊,使得美國網絡中流砥柱的公司大面積癱瘓,影響遍及數百萬人群。而Mirai能夠在識別物聯網設備的同時令其感染病毒使之成為僵尸網絡,進而集中控制物聯網設備,發起分布式拒絕服務(DDoS)攻擊,大量垃圾流量會滲透進入目標服務器,令服務器癱瘓。如今,受到威脅的不再只是電腦,網絡攝像頭和路由器也早已危機四伏,因此對物聯網僵尸網絡的識別及攻擊預測,顯得尤為重要。
通常情況下,可以從地址類型、網絡位置、行為位置、風險類型等多個方面對某一IP進行描繪,IP維度上產生的信息,可以在很多業務場景中配合使用,如果對一些可疑的IP進行合理的描繪,輸出相關的情報信息,從某些方面講也可以為惡意攻擊提供一定的預警能力。本文對物聯網設備的IP進行了分析,主要從設備類型,開放服務,地域信息,攻擊類型四個方面進行描繪,而且對這些維度進行分析,從中得出現有的惡意物聯網IP的特征,并分析這些特征產生的可能原因。
?? 
圖1 物聯網惡意IP可選的描繪維度
由2017年3月份綠盟科技創新中心物聯網安全實驗室和威脅情報實驗室聯合發表的《國內物聯網資產的暴露情況分析》(http://t.cn/RaGywgI)中了解到,國內有十幾種物聯網設備存在數量較多的暴露情況,根據數量排序依次列出。
?? 
圖2 全球和國內物聯網相關設備暴露情況
本文物聯網資產數據全部來源于NTI(綠盟威脅情報中心),通過設備類型標簽提取出物聯網資產,將結果與歷史攻擊事件數據庫中3000w IP進行撞庫處理,最后共獲得77860條惡意物聯網資產記錄,并將以上兩個數據庫的字段相結合做了如下相關分析。
二、相關分析
1. 攻擊類型分析
惡意的物聯網資產以肉雞為主,主要發動掃描和DDoS攻擊。
我們對威脅IP歷史攻擊事件數據庫中提取的惡意物聯網資產的攻擊類型字段進行統計,對于物聯網資產而言,多數惡意的物聯網設備都是被其他主機控制,組成僵尸網絡進行攻擊。如圖 2.1 所示,除了其他攻擊類型以外,Botnet(僵尸網絡)總量占比最多,主要做Scanners(掃描器)和DDoS攻擊。當初的Mirai事件就是黑客利用物聯網設備的弱口令等安全漏洞,主要對網絡監控設備實施入侵,并植入惡意軟件構建僵尸網絡進行DDoS攻擊,致使被攻擊的網絡癱瘓的現象。
圖3 惡意物聯網資產攻擊類型數量分布
2. 設備類型分析
惡意物聯網設備中路由器和網絡攝像頭數量最多,占惡意總量90%以上。
從上圖可以看出惡意物聯網IP中路由器和網絡攝像頭兩種設備占總量的90%以上,是什么導致二者數量占比這么多呢?分析猜測有以下幾點原因。首先,從圖 4物聯網資產暴露情況來看,惡意物聯網設備類型的數量排名與暴露的數量的排名幾乎相吻合,暴露的基數越大該設備被控制的數量可能就會越多;其次,因為多數人并不知道路由器,攝像頭等物聯網設備會被大規模植入惡意軟件,所以此類設備很少有防護,而且具有常開的特性,操控者不擔心會失去連接,這為攻擊提供了很大的便利;最后也跟NTI的物聯網資產數據有關,可能因為NTI對攝像頭和路由器識別基數大,所以路由器和攝像頭的惡意資產較多。以上等等均為推測,欲知確切原因,還需要更多數據進一步佐證。
?? 
圖4 惡意物聯網設備類型分布情況
3. 地域分布分析
全球惡意的物聯網僵尸網絡大多數分布在人口較多的發展中國家。
印度的物聯網僵尸網絡數量最多,其次是中國和巴西,三個都是發展中國家,而且人口基數都很大,可能對路由器、攝像頭等物聯網設備需求也較多,并且一定程度上說明這些國家地區的人們對物聯網安全意識相對薄弱。
圖5 惡意物聯網設備全球分布示意圖
圖6 惡意物聯網設備國家數量分布
國內惡意的物聯網僵尸網絡主要分布在東南沿海地帶,包括長三角,珠三角和京津冀經濟帶,香港地區是重災區。
如圖 7 所示,惡意物聯網設備主要分布在東南沿海和京津冀地帶,產生這一現象可能是因為發達的經濟帶物聯網設備的基數本身就大,所以這些地區的惡意物聯網設備數量相對其他地區會多一些。當然這只是一種猜測,具體原因還需進一步的數據支撐和分析得出。由圖 8 可知,香港地區的惡意物聯網資產數量最多,且根據《國內物聯網資產的暴露情況分析》顯示,該地區的物聯網設備暴露情況令人堪憂,看來暴露情況和惡意情況很可能正相關。
圖7 惡意物聯網設備國內分布示意圖
圖8 惡意物聯網設備國內數量分布
4. 開放服務分析
被控制的物聯網設備大部分開放多個端口,開放最多的是WEB服務。
我們對惡意的物聯網設備開放的服務數量進行了統計(端口開放可能包括歷史數據),其中絕大部分開放端口為80,161,37777。通過分析惡意物聯網資產協議和默認端口的對應關系,發現開放最多的協議為HTTP協議(圖 10),也就是說在惡意的物聯網設備中,開放最多的是WEB服務。
圖9 惡意物聯網設備的端口分布
圖10 惡意物聯網IP開放協議情況
三、寫在最后
當然以上都是從客觀的維度進行的分析,但是如果想找到惡意的物聯網設備,還需根據具體的網絡活動看其是否有惡意的行為,包括是否有與C&C主機連接行為和是否有攻擊行為兩個方面。如果能查到某物聯網資產與已知的C&C主機連接,該物聯網設備就有肉雞的嫌疑,而該物聯網資產有攻擊相關流量,就可以進一步確定其為肉雞。
分析了這么多,作為使用者我們該如何防止自己的物聯網設備,不被他人攻擊呢?這里結合我們的分析,簡單的總結了一些建議:
- 修改初始口令以及弱口令,加固用戶名和密碼的安全性;
- 關閉不用的端口和服務,如FTP(21端口)、SSH(22端口)、Telnet(23端口)等,WEB服務盡可能的不暴露在公網;
- 及時升級設備固件,修復漏洞。
當然如果你對以上技術建議并不是很care,或者沒有精力做這些配置操作,但又擔心家里的物聯網設備遭受攻擊,也許你需要一款具備安全能力的路由器。根據上文的分析安全路由器應至少具備以下能力:
(1) 掃描識別能力
對接入路由器內的設備進行定期掃描,識別其設備類型、開放服務、固件版本號等信息,提示使用者關閉不必要的端口和服務,對存在高危的固件版本提示升級。
(2) 惡意行為監測
對路由器內設備的訪問連接行為進行識別,根據威脅情報等信息對設備連接的惡意的IP或URL進行告警或阻斷,保護內網設備不被惡意主機連接控制。
隨著家庭物聯網設備種類的增多,其攻擊面也必然會越來越廣,相對于安全問題,消費者可能更會將精力放在產品的使用。可安全問題怎么辦呢?所以如果在家庭的場景中配置一個安全路由器,讓其來輔助消費者保護家中的智能設備的安全,似乎可以很好的解決以上沖突。隨著技術的進步,人們對智能設備需求的增加,物聯網設備的攻擊面肯定不僅限于本文提到這些,所以關于安全路由器的能力可能還需進一步的挖掘和探討。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
