物聯網(IoT)僵尸網絡作者正在適應更安全的物聯網設備的轉變，這已經將攻擊者的注意力轉移到利用物聯網設備的漏洞上。由于物聯網設備安全性仍處于起步階段，因此發現命令注入等基本漏洞并不少見。

[[252677]]

2018年11月，NetScout的Asert團隊成員通過部署蜜罐觀察到幾個舊的物聯網漏洞被用以傳遞惡意軟件。研究數據顯示，新型物聯網設備遭受針對已知漏洞的攻擊需要不到一天的時間，而使用默認憑據(進入蜜罐)強行登錄只需要不到5分鐘的時間。

主要發現

• 除了通常的強制路由之外，物聯網僵尸網絡作者越來越多地將對物聯網相關漏洞的利用添加到他們的武器庫中。在某些情況下，攻擊者會通過嘗試利用已知漏洞為強行攻擊做后援。
• 由于修補物聯網設備更新固件的節奏之慢，部分相關漏洞在較長時間內都是有效的攻擊載體。
• 研究人員收集的數據顯示，從物聯網設備上線到首次強攻開始，中間只需要不到5分鐘的時間。在24小時內，這些設備開始接收針對已知漏洞的攻擊嘗試。

具體細節

使用基于物聯網的漏洞已經幫助僵尸網絡開發者輕松地增加僵尸網絡感染的設備數量。例如，許多Mirai變體就中包括物聯網特定的漏洞。

根據研究人員的蜜罐數據，從漏洞公開到僵尸網絡作者將其整合到僵尸網絡中的周轉速度很快，新舊物聯網相關漏洞混合在一起。主要原因如下：首先，在購買之前，物聯網設備可以在貨架上放置數周。如果為設備發布了安全更新，則在更新軟件之前不會將其應用于這些設備，這會讓設備啟動時即易遭受攻擊，能被迅速利用。蜜罐數據顯示，在有人掃描設備并嘗試強力登錄之前，設備連接到互聯網只需幾分鐘。其次，物聯網設備接收補丁的速度令人憂心。這些設備一度被誤認為在安全性方面的工作可以“一勞永逸”。

在Hadoop YARN請求的沖擊下，研究者發現了一些與物聯網相關的老漏洞。這些漏洞包括CVE-2014-8361、CVE-2015-2051、CVE-2017-17215和CVE-2018-10561。圖1顯示了在11月試圖利用這些漏洞攻擊部署蜜罐的來源數量。

圖1

圖2中的示例顯示了使用CVE-2014-8361來提供Mirai的MIPS變體。正如在下面重點顯示的有效負載中看到的，該漏洞使用“wget”下載僵尸程序的副本并在易受攻擊的設備上執行它。CVE-2014-8361于2015年4月公開披露，并已用于多個復雜物聯網僵尸網絡，如Satori和JenX。

圖2

圖3是CVE-2017-17215的一個例子，它用于提供另一種Mirai變種。以類似的方式，可以看到濫用“wget”下載機器人并在易受攻擊的設備上執行它。CVE-2017-17215還被用于幾個高調的物聯網僵尸網絡中。此漏洞于2017年12月披露，并于2017年12月25日在exploit-db上發布了概念驗證。

圖3

由于連接到互聯網的物聯網設備數量龐大，因此查找易受攻擊的設備非常便捷。當易受攻擊的設備被“打開”并且應用安全漏洞的更新時，攻擊者可以快速收集大型僵尸網絡。在大多數情況下，這些僵尸網絡立即被征召入DDoS大軍中。正如我們在2016年通過Mirai進行的DDoS攻擊所看到的那樣，創建大型物聯網僵尸網絡并造成嚴重破壞并不需要花費大量精力。未來我們將繼續看到使用基于物聯網的漏洞的增加。更新像Mirai這樣的僵尸網絡源代碼以利用這些漏洞的便利性起著重要作用。以最少的時間和資源創建更大的僵尸網絡的能力就是我們看到物聯網僵尸網絡數量趨勢變化背后的原因。