文章目錄
一、引言
近兩年來, 隨著物聯網相關技術的發展, 幾乎所有的家用電器都可以接入網路。 智慧化的應用給生活帶來便利的同時,
通常情況下, 可以從網址類別型、網路位置、行為位置、風險類型等多個方面對某一IP進行描繪, IP維度上產生的資訊,
圖1物聯網惡意IP可選的描繪維度
由2017年3月份綠盟科技創新中心物聯網安全實驗室和威脅情報實驗室聯合發表的《國內物聯網資產的暴露情況分析》( http://t.cn/RaGywgI )中瞭解到, 國內有十幾種物聯網設備存在數量較多的暴露情況, 根據數量排序依次列出。
圖2全球和國內物聯網相關設備暴露情況
本文物聯網資產資料全部來源於NTI(綠盟威脅情報中心), 通過設備類型標籤提取出物聯網資產, 將結果與歷史攻擊事件資料庫中3000w IP進行撞庫處理, 最後共獲得77860條惡意物聯網資產記錄, 並將以上兩個資料庫的欄位相結合做了如下相關分析。
二、相關分析
1.攻擊類型分析
惡意的物聯網資產以肉雞為主, 主要發動掃描和 DDoS 攻擊。
我們對威脅IP歷史攻擊事件資料庫中提取的惡意物聯網資產的攻擊類型欄位進行統計, 對於物聯網資產而言, 多數惡意的物聯網設備都是被其他主機控制,
圖3惡意物聯網資產攻擊類型數量分佈
2.設備類型分析
惡意物聯網設備中路由器和網路攝像頭數量最多,占惡意總量 90% 以上
從上圖可以看出惡意物聯網IP中路由器和網路攝像頭兩種設備占總量的90%以上,是什麼導致二者數量占比這麼多呢?分析猜測有以下幾點原因。首先,從圖 4物聯網資產暴露情況來看,惡意物聯網設備類型的數量排名與暴露的數量的排名幾乎相吻合,暴露的基數越大該設備被控制的數量可能就會越多;其次,因為多數人並不知道路由器,攝像頭等物聯網設備會被大規模植入惡意軟體,所以此類設備很少有防護,而且具有常開的特性,操控者不擔心會失去連接,這為攻擊提供了很大的便利;最後也跟NTI的物聯網資產資料有關,可能因為NTI對攝像頭和路由器識別基數大,所以路由器和攝像頭的惡意資產較多。以上等等均為推測,欲知確切原因,還需要更多資料進一步佐證。
圖4惡意物聯網設備類型分佈情況
3.地域分佈分析
全球惡意的物聯網僵屍網路大多數分佈在人口較多的發展中國家
印度的物聯網僵屍網路數量最多,其次是中國和巴西,三個都是發展中國家,而且人口基數都很大,可能對路由器、攝像頭等物聯網設備需求也較多,並且一定程度上說明這些國家地區的人們對物聯網安全意識相對薄弱。
圖5惡意物聯網設備全球分佈示意圖
圖6惡意物聯網設備國家數量分佈
國內惡意的物聯網僵屍網路主要分佈在東南沿海地帶,包括長三角,珠三角和京津冀經濟帶,香港地區是重災區
如圖 7 所示,惡意物聯網設備主要分佈在東南沿海和京津冀地帶,產生這一現象可能是因為發達的經濟帶物聯網設備的基數本身就大,所以這些地區的惡意物聯網設備數量相對其他地區會多一些。當然這只是一種猜測,具體原因還需進一步的資料支撐和分析得出。由圖 8 可知,香港地區的惡意物聯網資產數量最多,且根據《國內物聯網資產的暴露情況分析》顯示,該地區的物聯網設備暴露情況令人堪憂,看來暴露情況和惡意情況很可能正相關。
圖7惡意物聯網設備國內分佈示意圖
圖8惡意物聯網設備國內數量分佈
4.開放服務分析
被控制的物聯網設備大部分開放多個埠,開放最多的是 WEB 服務。
我們對惡意的物聯網設備開放的服務數量進行了統計(埠開放可能包括歷史資料),其中絕大部分開放埠為80,161,37777。通過分析惡意物聯網資產協議和預設埠的對應關係,發現開放最多的協定為HTTP協定(圖 10),也就是說在惡意的物聯網設備中,開放最多的是WEB服務。
圖9惡意物聯網設備的埠分佈
圖10惡意物聯網IP開放協定情況
三、寫在最後
當然以上都是從客觀的維度進行的分析,但是如果想找到惡意的物聯網設備,還需根據具體的網路活動看其是否有惡意的行為,包括是否有與C&C主機連接行為和是否有攻擊行為兩個方面。如果能查到某物聯網資產與已知的C&C主機連接,該物聯網設備就有肉雞的嫌疑,而該物聯網資產有攻擊相關流量,就可以進一步確定其為肉雞。
分析了這麼多,作為使用者我們該如何防止自己的物聯網設備,不被他人攻擊呢?這裡結合我們的分析,簡單的總結了一些建議:
(1)修改初始口令以及弱口令,加固用戶名和密碼的安全性;
(2)關閉不用的埠和服務,如FTP(21埠)、SSH(22埠)、Telnet(23埠)等,WEB服務盡可能的不暴露在公網;
(3)及時升級設備固件,修復漏洞。
當然如果你對以上技術建議並不是很care,或者沒有精力做這些配置操作,但又擔心家裡的物聯網設備遭受攻擊,也許你需要一款具備安全能力的路由器。根據上文的分析安全路由器應至少具備以下能力:
掃描識別能力
對接入路由器內的設備進行定期掃描,識別其設備類型、開放服務、固件版本號等資訊,提示使用者關閉不必要的埠和服務,對存在高危的固件版本提示升級。
惡意行為監測
對路由器內設備的訪問連接行為進行識別,根據威脅情報等資訊對設備連接的惡意的IP或URL進行告警或阻斷,保護內網設備不被惡意主機連接控制。
隨著家庭物聯網設備種類的增多,其攻擊面也必然會越來越廣,相對于安全問題,消費者可能更會將精力放在產品的使用。可安全問題怎麼辦呢?所以如果在家庭的場景中配置一個安全路由器,讓其來輔助消費者保護家中的智慧設備的安全,似乎可以很好的解決以上衝突。隨著技術的進步,人們對智慧設備需求的增加,物聯網設備的攻擊面肯定不僅限於本文提到這些,所以關於安全路由器的能力可能還需進一步的挖掘和探討。
圖3惡意物聯網資產攻擊類型數量分佈
2.設備類型分析
惡意物聯網設備中路由器和網路攝像頭數量最多,占惡意總量 90% 以上
從上圖可以看出惡意物聯網IP中路由器和網路攝像頭兩種設備占總量的90%以上,是什麼導致二者數量占比這麼多呢?分析猜測有以下幾點原因。首先,從圖 4物聯網資產暴露情況來看,惡意物聯網設備類型的數量排名與暴露的數量的排名幾乎相吻合,暴露的基數越大該設備被控制的數量可能就會越多;其次,因為多數人並不知道路由器,攝像頭等物聯網設備會被大規模植入惡意軟體,所以此類設備很少有防護,而且具有常開的特性,操控者不擔心會失去連接,這為攻擊提供了很大的便利;最後也跟NTI的物聯網資產資料有關,可能因為NTI對攝像頭和路由器識別基數大,所以路由器和攝像頭的惡意資產較多。以上等等均為推測,欲知確切原因,還需要更多資料進一步佐證。
圖4惡意物聯網設備類型分佈情況
3.地域分佈分析
全球惡意的物聯網僵屍網路大多數分佈在人口較多的發展中國家
印度的物聯網僵屍網路數量最多,其次是中國和巴西,三個都是發展中國家,而且人口基數都很大,可能對路由器、攝像頭等物聯網設備需求也較多,並且一定程度上說明這些國家地區的人們對物聯網安全意識相對薄弱。
圖5惡意物聯網設備全球分佈示意圖
圖6惡意物聯網設備國家數量分佈
國內惡意的物聯網僵屍網路主要分佈在東南沿海地帶,包括長三角,珠三角和京津冀經濟帶,香港地區是重災區
如圖 7 所示,惡意物聯網設備主要分佈在東南沿海和京津冀地帶,產生這一現象可能是因為發達的經濟帶物聯網設備的基數本身就大,所以這些地區的惡意物聯網設備數量相對其他地區會多一些。當然這只是一種猜測,具體原因還需進一步的資料支撐和分析得出。由圖 8 可知,香港地區的惡意物聯網資產數量最多,且根據《國內物聯網資產的暴露情況分析》顯示,該地區的物聯網設備暴露情況令人堪憂,看來暴露情況和惡意情況很可能正相關。
圖7惡意物聯網設備國內分佈示意圖
圖8惡意物聯網設備國內數量分佈
4.開放服務分析
被控制的物聯網設備大部分開放多個埠,開放最多的是 WEB 服務。
我們對惡意的物聯網設備開放的服務數量進行了統計(埠開放可能包括歷史資料),其中絕大部分開放埠為80,161,37777。通過分析惡意物聯網資產協議和預設埠的對應關係,發現開放最多的協定為HTTP協定(圖 10),也就是說在惡意的物聯網設備中,開放最多的是WEB服務。
圖9惡意物聯網設備的埠分佈
圖10惡意物聯網IP開放協定情況
三、寫在最後
當然以上都是從客觀的維度進行的分析,但是如果想找到惡意的物聯網設備,還需根據具體的網路活動看其是否有惡意的行為,包括是否有與C&C主機連接行為和是否有攻擊行為兩個方面。如果能查到某物聯網資產與已知的C&C主機連接,該物聯網設備就有肉雞的嫌疑,而該物聯網資產有攻擊相關流量,就可以進一步確定其為肉雞。
分析了這麼多,作為使用者我們該如何防止自己的物聯網設備,不被他人攻擊呢?這裡結合我們的分析,簡單的總結了一些建議:
(1)修改初始口令以及弱口令,加固用戶名和密碼的安全性;
(2)關閉不用的埠和服務,如FTP(21埠)、SSH(22埠)、Telnet(23埠)等,WEB服務盡可能的不暴露在公網;
(3)及時升級設備固件,修復漏洞。
當然如果你對以上技術建議並不是很care,或者沒有精力做這些配置操作,但又擔心家裡的物聯網設備遭受攻擊,也許你需要一款具備安全能力的路由器。根據上文的分析安全路由器應至少具備以下能力:
掃描識別能力
對接入路由器內的設備進行定期掃描,識別其設備類型、開放服務、固件版本號等資訊,提示使用者關閉不必要的埠和服務,對存在高危的固件版本提示升級。
惡意行為監測
對路由器內設備的訪問連接行為進行識別,根據威脅情報等資訊對設備連接的惡意的IP或URL進行告警或阻斷,保護內網設備不被惡意主機連接控制。
隨著家庭物聯網設備種類的增多,其攻擊面也必然會越來越廣,相對于安全問題,消費者可能更會將精力放在產品的使用。可安全問題怎麼辦呢?所以如果在家庭的場景中配置一個安全路由器,讓其來輔助消費者保護家中的智慧設備的安全,似乎可以很好的解決以上衝突。隨著技術的進步,人們對智慧設備需求的增加,物聯網設備的攻擊面肯定不僅限於本文提到這些,所以關於安全路由器的能力可能還需進一步的挖掘和探討。