物聯網設備（路由器、攝像頭、NAS盒子和智能家居組件）每年都在成倍增長。數據預計，到2030年，物聯網設備將超過290億臺。隨著連接設備數量的增加，防御各種威脅的需求也在增加?？ò退够钚掳l布的《2023年物聯網（IoT）威脅概述》為了解針對這些設備的攻擊方法、暗網活動和流行的惡意軟件類型提供了重要見解。

一、攻擊向量

物聯網主要有兩種感染途徑：暴力破解弱密碼和利用網絡服務中的漏洞。

Telnet是一種非常流行的未加密物聯網文本協議，是暴力破解的主要目標。成功破解密碼后，攻擊者可以在設備上執行任意命令并注入惡意軟件。對使用SSH（一種更高級的通信加密協議）的服務進行暴力破解攻擊也會產生類似的結果。但是，攻擊SSH需要占用更多的資源，且與Telnet相比，其可以在線訪問的服務數量也較少。

2023年上半年，卡巴斯基蜜罐登記的密碼暴力破解嘗試中有97.91%針對Telnet，只有2.09%針對SSH。執行這些攻擊的受感染設備大多來自印度和美國，而巴基斯坦和俄羅斯則是攻擊最活躍的國家。

【2023年上半年，攻擊卡巴斯基蜜罐最多的設備所在地TOP10榜單】

【2023年上半年，卡巴斯基蜜罐遭受攻擊次數最高的TOP10國家/地區榜單】

由于在物聯網設備上運行的Telnet和SSH服務通常使用眾所周知的默認密碼，因此暴力破解攻擊相當常見。不幸的是，用戶往往不會更改這些密碼。更糟糕的是，許多物聯網設備的主密碼都是由制造商設置的，不可更改。

另一種入侵設備的方法是利用在設備上運行的服務中的漏洞。在向網絡接口發送的請求中注入惡意代碼是利用漏洞的最常見方式。這些攻擊的后果可能非常嚴重，例如ISP用于自動配置局域網設備的TR-064協議實施中的一個漏洞。該安全漏洞允許未經認證的TR-064數據包傳輸，從而導致Mirai惡意軟件的擴散。

不過，無論采用哪種入侵技術，物聯網設備都可能受到來自惡意行為者自身服務器和惡意軟件所謂的“自我傳播式”攻擊，它是指惡意文件在網上尋找易受攻擊的設備，并通過各種手段將副本植入其中。在后一種情況下，攻擊也可能來自較早感染的物聯網設備。

二、暗網服務：DDoS攻擊、僵尸網絡和零日物聯網漏洞

卡巴斯基的研究發現了一個針對物聯網相關服務的蓬勃發展的暗網地下經濟。值得注意的是，黑客們對通過物聯網組成的僵尸網絡提供的分布式拒絕服務（DDoS）攻擊需求很大。

2023年上半年，卡巴斯基數字足跡情報服務分析人員在各種暗網論壇上發現了700多條DDoS攻擊服務廣告。

【2023年上半年DDoS攻擊服務廣告（按月分布）】

這些服務的成本取決于受害者方面的DDoS保護、驗證碼和JavaScript驗證等因素，從每天20美元到每月10,000美元不等。廣告提供的這些服務的平均價格為每天63.5美元或每年1350美元。

暗網銷售的另一種服務是物聯網黑客。網絡犯罪分子尋求利用物聯網設備中的零日漏洞。

此外，暗網市場還提供針對物聯網設備中的零日漏洞的漏洞利用程序，以及與基礎設施和支持工具捆綁在一起的物聯網惡意軟件。

在下面的截圖中，供應商提供的是一個自制的DDoS機器人，配有C2服務器和通過Telnet或SSH上傳惡意軟件的軟件：

下面是一張廣告截圖，發帖者在廣告中尋求惡意軟件和安裝幫助。

在某些情況下，賣家或買家指定物聯網設備的目標類型。

【卡巴斯基威脅情報門戶流廣告截圖】

在極少數情況下，暗網論壇上也可以購買到預感染設備網絡。不過，這種性質的廣告并不常見。例如，下面截圖中的用戶正在為位于阿根廷的由200臺路由器和攝像頭組成的僵尸網絡尋找新的所有者。

三、攻擊物聯網的惡意軟件的目標和類型

感染物聯網設備的惡意行為者可能存在不同的目標，他們可能希望利用受感染的硬件作為發動網絡攻擊的工具，偽裝惡意流量，利用設備資源進行加密貨幣挖掘；或索要贖金以恢復對設備的訪問。有些攻擊者可能會攻擊任何物聯網設備，而另一些攻擊者則只攻擊能夠實現其目標的某些類型的硬件。下面，我們將概述物聯網惡意軟件的特定目的和類型。

1. DDoS僵尸網絡

劫持設備并利用其發起針對各種服務的DoS攻擊的木馬程序是最常見的物聯網惡意軟件類型。對于DDoS惡意軟件而言，目標設備的類型無關緊要，因為每臺設備都能實現攻擊者的目標：通過網絡發送請求。盡管這些惡意程序大多源于修改過的Mirai代碼，但還有許多其他家族在傳播和獲得持久性的技術上有所差異。

例如，RapperBot雖然利用了Mirai代碼庫的一部分，但其主要由原創代碼組成。它的功能包括通過分析從Telnet服務接收到的身份驗證數據初始請求，來實現智能暴力破解。惡意軟件可以使用該請求來識別設備類型，并繼續暴力破解僅適用于該類型的密碼，從而提高其自我傳播性能。

2. 勒索軟件

與DDoS惡意程序不同，勒索軟件主要針對包含用戶數據的物聯網設備：NAS盒子（NAS boxes）。2022年影響到數千臺QNAP NAS設備的DeadBolt就是物聯網勒索軟件的一個突出例子。該攻擊利用了CVE-2022-27593漏洞，允許惡意行為者修改盒子上的系統文件。用戶文件被加密，設備界面顯示一條贖金通知，要求支付0.03比特幣才能恢復數據。盡管制造商發布了解決該漏洞的更新，但類似的攻擊仍令人擔憂。

3. 挖礦程序

在Mirai活動中，盡管物聯網設備的處理能力較低，但攻擊者還是試圖使用物聯網設備進行比特幣挖礦。不過，由于效率相對較低，這種做法尚未普及。

4. DNS修改器

惡意行為者可能會利用物聯網設備來攻擊連接到它們的用戶。2022年，一個名為“漫游螳螂”（Roaming Mantis，或稱“Shaoye”）的活動傳播了一款安卓應用程序，其功能包括通過管理界面修改Wi-Fi路由器上的DNS設置。任何仍在使用默認訪問憑證（如admin:admin）的路由器都可能被感染。在這樣的設備上，配置將被修改，使其使用運營商的DNS服務器。然后，該服務器會將所有連接到路由器的用戶重定向到一個網站，該網站會向安卓設備上傳惡意APK文件，并在iOS設備上顯示釣魚網頁。

5. 代理機器人

濫用受感染物聯網設備的另一種普遍方式是將其用作代理服務器，重定向惡意流量，使其難以追蹤。這些代理服務器主要用于垃圾郵件活動、規避反欺詐系統和各種網絡攻擊。

四、物聯網惡意軟件：競爭與持續性

在物聯網惡意軟件領域，存在各種各樣的惡意軟件家族，其中許多源自2016年的Mirai One。2016年，Mira的源代碼被發布在一個暗網論壇上，短時間內就出現了數百種修改，這些修改使用了各種DDoS技術、暴力破解字典和利用漏洞進行自我傳播。

網絡罪犯之間的激烈競爭推動了他們開發用于阻止競爭對手惡意軟件的功能。其中，最常用的先發制人策略是添加防火墻規則，阻止傳入連接嘗試。關閉遠程設備管理服務的情況較少。惡意軟件會搜索某些進程名稱、掃描端口并分析設備內存中的惡意模式，以抑制設備上已有的感染。在黑客爭奪設備控制權時，與競爭對手相關的進程會被終止，文件也會被刪除。

五、物聯網設備缺乏安全性而引發的其他威脅

攻擊者對聯網攝像頭表現出了濃厚的興趣，這一點在購買和出售受感染物聯網設備訪問權的廣告中得到了印證。通過非法訪問網絡攝像頭的盈利方式多種多樣。鑒于其CPU功率，攝像頭可能會被黑客攻擊，用于挖掘加密貨幣，或安裝DDoS工具。攝像頭還可被用作路由器（代理或VPN服務器），以匿名處理非法流量。一些黑客甚至把它們用作網絡攝像頭。

安全研究員Paul Marrapese研究了消費者網絡攝像頭領域，發現其中的安全漏洞并不少見。遺憾的是，供應商本可以做得更好。Paul發現了某些網絡攝像頭型號的固件和協議中的關鍵漏洞，但涉事供應商甚至沒有回過頭來討論修復問題。

值得一提的是，此類攝像機的制造商通常采用各種點對點（P2P）協議的實現方式，與其他多臺設備共享協議。這些協議要么對流量加密不力，要么根本不進行加密，從而使設備暴露于中間人（MitM）攻擊之下。攻擊者可以輕松地竊聽設備流量，竊取用戶憑證或重定向視頻流。

根據趨勢科技的一項研究表明，偷窺攝像頭所有者私生活的情況絕非罕見。然而，值得注意的是，除了攝像頭，其他各種物聯網設備也可能用于窺探。例如，盡管它們的主要功能與視頻監控無關，但市場上大多數智能寵物喂食器都能捕捉實時音頻和視頻片段。雖然它們的受歡迎程度正在不斷攀升，新型號也在不斷推出，以滿足日益增長的需求，但供應商往往忽視了對這些設備的適當保護。

近日，卡巴斯基研究人員對一種流行的智能喂食器型號進行了測試，并發現其中存在大量安全漏洞。利用這些漏洞，除了為黑客創造其他機會外，該設備還可用于監視寵物主人。

兒童智能設備是另一類需要強化安全性的物聯網設備。遺憾的是，一些供應商并沒有認真對待這一點。當一家智能手表制造商委托卡巴斯基使用工業物聯網聯盟開發的“物聯網安全成熟度模型”方法進行產品安全成熟度評估時，徹底暴露了設備缺乏安全性的情況。這些安全問題已經嚴重到足以將產品轉化為監視兒童及其周圍環境的監控工具。

安全性不足的問題困擾著消費和工業物聯網設備。后者也可能存在基本的安全漏洞，并且供應商推薦的設置可能不安全。

工業物聯網設備中最常見的配置問題是使用默認密碼。例如，一家用于將電梯設備連接到控制室監控系統的媒體轉換器制造商，在服務文檔中提供了這些設備以及極不安全的連接和配置提示。更糟糕的是，研究人員還發現物聯網設備本身也存在漏洞，即使是技術不嫻熟的黑客也可以利用這些漏洞完全控制轉換器。

這并不意味著所有物聯網設備都不安全，只是某些供應商忽視了安全開發文化。我們衷心希望所有面向消費者和工業用戶的物聯網設備供應商都能盡可能優先考慮其產品的網絡安全。

六、結論及建議

物聯網設備吸引黑客的原因有很多：它們可被用于進行DDoS攻擊、偽裝流量，或者通過內置網絡攝像頭窺探所有者。同樣地，NAS盒子和路由器也可能成為勒索軟件團伙的攻擊目標，他們的目標是連接到NAS盒子和路由器的設備，包括公共Wi-Fi網絡上的智能手機或受害者局域網上的其他設備。

除了無情地攻擊物聯網外，黑客還在暗網市場上提供服務。也就是說，由于使用默認密碼和設備漏洞的存在，大多數聯網設備（包括工業環境中的設備）仍然很容易成為遭受攻擊，其中一些漏洞供應商從未著手進行修復。家庭和工業用物聯網設備的供應商都應對產品網絡安全采取負責任的態度，并在產品設計階段引入保護措施。

為保護工業和消費者物聯網設備的安全，卡巴斯基專家建議：

• 對OT系統進行定期的安全評估，以發現和消除可能存在的漏洞；
• 使用ICS網絡流量監控、分析和檢測解決方案，更好地抵御可能威脅技術流程和主要企業資產的攻擊；
• 確保對工業端點以及企業端點進行保護；
• 在部署物聯網設備之前評估設備的安全狀態。應優先考慮具有網絡安全證書的設備以及更注重信息安全的制造商的產品；
• 對于智能家居設備，不要忘記更改默認密碼。請使用嚴格、復雜的密碼并定期更新；
• 不要在社交網絡上分享有關智能設備的序列號、IP地址和其他敏感信息；
• 注意并隨時查看已發現的物聯網設備漏洞的最新信息。

原文鏈接：https://securelist.com/iot-threat-report-2023/110644/