RFID世界網(wǎng) > 新聞中心 > 物聯(lián)網(wǎng)新聞 > 正文

物聯(lián)網(wǎng)設(shè)備僵尸網(wǎng)絡(luò)趨勢分析

作者：Stella

來源：黑客視界

日期：2018-12-18 10:30:57

摘要：物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)作者正在適應(yīng)更安全的物聯(lián)網(wǎng)設(shè)備的轉(zhuǎn)變，這已經(jīng)將攻擊者的注意力轉(zhuǎn)移到利用物聯(lián)網(wǎng)設(shè)備的漏洞上。由于物聯(lián)網(wǎng)設(shè)備安全性仍處于起步階段，因此發(fā)現(xiàn)命令注入等基本漏洞并不少見。

關(guān)鍵詞：僵尸網(wǎng)絡(luò)物聯(lián)網(wǎng)設(shè)備

　　物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)作者正在適應(yīng)更安全的物聯(lián)網(wǎng)設(shè)備的轉(zhuǎn)變，這已經(jīng)將攻擊者的注意力轉(zhuǎn)移到利用物聯(lián)網(wǎng)設(shè)備的漏洞上。由于物聯(lián)網(wǎng)設(shè)備安全性仍處于起步階段，因此發(fā)現(xiàn)命令注入等基本漏洞并不少見。

　　2018年11月，NetScout的Asert團(tuán)隊(duì)成員通過部署蜜罐觀察到幾個(gè)舊的物聯(lián)網(wǎng)漏洞被用以傳遞惡意軟件。研究數(shù)據(jù)顯示，新型物聯(lián)網(wǎng)設(shè)備遭受針對已知漏洞的攻擊需要不到一天的時(shí)間，而使用默認(rèn)憑據(jù)(進(jìn)入蜜罐)強(qiáng)行登錄只需要不到5分鐘的時(shí)間。

　　主要發(fā)現(xiàn)

　　除了通常的強(qiáng)制路由之外，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)作者越來越多地將對物聯(lián)網(wǎng)相關(guān)漏洞的利用添加到他們的武器庫中。在某些情況下，攻擊者會通過嘗試?yán)靡阎┒礊閺?qiáng)行攻擊做后援。

　　由于修補(bǔ)物聯(lián)網(wǎng)設(shè)備更新固件的節(jié)奏之慢，部分相關(guān)漏洞在較長時(shí)間內(nèi)都是有效的攻擊載體。

　　研究人員收集的數(shù)據(jù)顯示，從物聯(lián)網(wǎng)設(shè)備上線到首次強(qiáng)攻開始，中間只需要不到5分鐘的時(shí)間。在24小時(shí)內(nèi)，這些設(shè)備開始接收針對已知漏洞的攻擊嘗試。具體細(xì)節(jié)

　　使用基于物聯(lián)網(wǎng)的漏洞已經(jīng)幫助僵尸網(wǎng)絡(luò)開發(fā)者輕松地增加僵尸網(wǎng)絡(luò)感染的設(shè)備數(shù)量。例如，許多Mirai變體就中包括物聯(lián)網(wǎng)特定的漏洞。

　　根據(jù)研究人員的蜜罐數(shù)據(jù)，從漏洞公開到僵尸網(wǎng)絡(luò)作者將其整合到僵尸網(wǎng)絡(luò)中的周轉(zhuǎn)速度很快，新舊物聯(lián)網(wǎng)相關(guān)漏洞混合在一起。主要原因如下：首先，在購買之前，物聯(lián)網(wǎng)設(shè)備可以在貨架上放置數(shù)周。如果為設(shè)備發(fā)布了安全更新，則在更新軟件之前不會將其應(yīng)用于這些設(shè)備，這會讓設(shè)備啟動時(shí)即易遭受攻擊，能被迅速利用。蜜罐數(shù)據(jù)顯示，在有人掃描設(shè)備并嘗試強(qiáng)力登錄之前，設(shè)備連接到互聯(lián)網(wǎng)只需幾分鐘。其次，物聯(lián)網(wǎng)設(shè)備接收補(bǔ)丁的速度令人憂心。這些設(shè)備一度被誤認(rèn)為在安全性方面的工作可以“一勞永逸”。

　　在Hadoop YARN請求的沖擊下，研究者發(fā)現(xiàn)了一些與物聯(lián)網(wǎng)相關(guān)的老漏洞。這些漏洞包括CVE-2014-8361、CVE-2015-2051、CVE-2017-17215和CVE-2018-10561。圖1顯示了在11月試圖利用這些漏洞攻擊部署蜜罐的來源數(shù)量。

　　圖1

　　圖2中的示例顯示了使用CVE-2014-8361來提供Mirai的MIPS變體。正如在下面重點(diǎn)顯示的有效負(fù)載中看到的，該漏洞使用“wget”下載僵尸程序的副本并在易受攻擊的設(shè)備上執(zhí)行它。CVE-2014-8361于2015年4月公開披露，并已用于多個(gè)復(fù)雜物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，如Satori和JenX。

　　圖2

　　圖3是CVE-2017-17215的一個(gè)例子，它用于提供另一種Mirai變種。以類似的方式，可以看到濫用“wget”下載機(jī)器人并在易受攻擊的設(shè)備上執(zhí)行它。CVE-2017-17215還被用于幾個(gè)高調(diào)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中。此漏洞于2017年12月披露，并于2017年12月25日在exploit-db上發(fā)布了概念驗(yàn)證。

　　圖3

　　由于連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量龐大，因此查找易受攻擊的設(shè)備非常便捷。當(dāng)易受攻擊的設(shè)備被“打開”并且應(yīng)用安全漏洞的更新時(shí)，攻擊者可以快速收集大型僵尸網(wǎng)絡(luò)。在大多數(shù)情況下，這些僵尸網(wǎng)絡(luò)立即被征召入DDoS大軍中。正如我們在2016年通過Mirai進(jìn)行的DDoS攻擊所看到的那樣，創(chuàng)建大型物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)并造成嚴(yán)重破壞并不需要花費(fèi)大量精力。未來我們將繼續(xù)看到使用基于物聯(lián)網(wǎng)的漏洞的增加。更新像Mirai這樣的僵尸網(wǎng)絡(luò)源代碼以利用這些漏洞的便利性起著重要作用。以最少的時(shí)間和資源創(chuàng)建更大的僵尸網(wǎng)絡(luò)的能力就是我們看到物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)數(shù)量趨勢變化背后的原因。