僵尸網絡的發展,“智能設備”可幫了大忙(含Top 10物聯網設備弱口令 )
近年來,隨著互聯網技術的快速發展以及國家政策的大力支持,物聯網這一領域也跟著水漲船高,各項具有應用意義的項目也在不斷拓展,比如智能家居,視頻監控系統等,身處千里之外,卻能知悉家中的一舉一動,這也體現了“萬物互聯”的概念。其中,作為物聯網的終端節點,比如智能路由器,視頻監控器等設備,隨著大眾將目光逐步轉移到物聯網時,這些設備因自身的安全性問題也遭受到來自惡意攻擊者的覬覦。
據悉,目前針對物聯網設備的惡意軟件越來越普遍了,基本每個月都會發現新的變種。而據分析,在過去的兩年里,發現的所有物聯網惡意軟件基本都是同樣的運作原理思路。一般來說,使用釣魚方式或者自動化工具來進行暴力破解物聯網設備,通過密碼字典嘗試批量猜解物聯網設備的管理員賬戶及密碼,來開始對設備的感染。
物聯網僵尸擴張的源頭:默認設備登錄口令
當設備運行后,如果用戶沒有及時更改設備的默認登陸口令,攻擊者往往可針對這些設備進行暴破,輕而易舉便可進入到該設備的管理界面。此后,攻擊者便可植入惡意代碼到其中,并使之與C&C服務器通訊,將之融合到僵尸網絡中。而這些僵尸網絡主要用以發動DDoS攻擊,或者作為代理,向其他物聯網設備實施暴力破解。
在近年八月份,卡巴斯基發現基于Linux設備節點組成的網絡,近年來在地下市場已逐步成為主流的DDoS攻擊的僵尸網絡。
在大部分案例中,物聯網設備往往被集中起來,組成僵尸網絡,從而發起DDoS攻擊,僅僅在少數定向攻擊的案例中,我們會發現某些攻擊者,利用其中物聯網中的某一設備,作為網絡中的代理節點來進行攻擊。
前文所呈現的入侵攻擊,一方面,還是因為用戶的安全意識較為薄弱,在使用物聯網設備過程中,并沒有對密碼進行強化或者更改,導致攻擊者可輕而易舉地暴破訪問設備。另一方面,也是因為相應的物聯網終端設備存在安全漏洞,攻擊者利用該漏洞來對設備進行控制,從而才可將對設備進行感染并融入到其僵尸網絡中。而根據安全公司賽門鐵克的全球統計,以下表單為目前物聯網設備Top 10 的弱口令(其中賬戶和同一行的密碼并不對應)。
如果針對我們自身使用的系統及設備如樹莓派或者ubantu等,從目前的密碼強度進行審計,是否也存在相應的弱口令呢?
根據來自賽門鐵克的研究,近年的物聯網惡意軟件往往帶有跨平臺特性,能夠有效針對所有的主流硬件平臺進行攻擊,如x86, ARM, MIPS以及 MIPSEL平臺等。除了上述的部分,在某些案例中,也有一些惡意軟件家族,主要針對其他平臺或者架構的,如PowerPC, SuperH以及 SPARC架構的。
物聯網惡意軟件可自我進行復制
實際上,通過使用工具,像Shodan(具體還請參考《如何在15分鐘內利用Shodan對企業進行安全審計?》以及《安全搜索引擎Shodan(搜蛋)命令行模式使用TIPS》),以及自動化暴破腳本,攻擊者已經很少需要手工進行操作了,雖然偶爾可能會碰到需要手工操作的案例。而當前的物聯網惡意軟件甚至有了蠕蟲的特性,即是可以傳播給其他關聯的設備,例如 Ubiquiti 蠕蟲。
Ubiquiti ,其全稱為優倍快網絡公司,簡稱UBNT,我們可以發現其在前文物聯網設備弱口令Top 10的排名中也是榜上有名的。該公司主要生產無線網絡產品,包括像WiFi覆蓋AP、點對點網橋、點對多點網橋、WiFi客戶端(CPE)等。而Ubiquiti蠕蟲,被發現于其AirOS路由器,主要可通過利用一個存在路由器login.cgi文件中的任意文件上傳漏洞(詳情請參看進行了解:https://hackerone.com/reports/73480),上傳并執行惡意文件。在已知的案例中,攻擊者創建了一種可自我復制的病毒,通過利用Ubiquiti產品的默認口令(賬戶為ubnt,密碼為ubnt)登錄路由器,而利用上述漏洞,蠕蟲會在路由器上創建一個后門賬戶,并利用已有權限向其他設備進行復制傳播。而該蠕蟲病毒也被稱為Ubiquiti蠕蟲。
因自我復制的特性,物聯網惡意軟件可“幫助”攻擊者建立起一個頗具規模的僵尸網絡,據目前的統計,至少存在一百萬個安全性極低的物聯網設備向互聯網開放其敏感端口。
感染物聯網設備的主流惡意軟件有哪些?
如前文所述,這些物聯網設備組成的僵尸網絡往往被利用來實施不同類型的DDoS攻擊。如在近期,infosec記者報道了一次由物聯網設備組成的網絡發起的DDoS攻擊,其最高峰流量可達620Gbps。
而作為感染設備的惡意軟件,到目前,究竟有哪些類型或者種類呢?我們可以往下看看。
據安全公司賽門鐵克分析統計,目前最為主流的物聯網惡意軟件家族如下,
Linux.Darlloz (aka Zollard), Linux.Aidra (Linux.Lightaidra) Linux.Xorddos (aka XOR.DDos) Linux.Gafgyt (aka GayFgt, Bashlite), Linux.Ballpit (aka LizardStresser) Linux.Moose, Linux.Dofloo (aka AES.DDoS, Mr. Black) Linux.Pinscan / Linux.Pinscan.B (aka PNScan) Linux.Kaiten / Linux.Kaiten.B (aka Tsunami) Linux.Routrem (aka Remainten, KTN-Remastered, KTN-RM) Linux.Wifatch (aka Ifwatch) Linux.LuaBot
物聯網設備廠商缺乏足夠的安全響應能力
根據統計的數據,缺乏安全性的物聯網設備在全球范圍內普遍存在。其中來自中國安全性較低的設備,約占設備總數量的34%,其次是美國,約占28%,接下來為俄羅斯,約占9%,詳細如下圖。
實際上,出現安全問題的設備往往來自于同一個公司的產品。比如:
此前有過報道的,關于發現將近25000個攝像頭被感染為僵尸網絡節點一事,正是由于國內一家生產硬盤錄像機的廠商,未能及時發布升級固件,造成該公司生產的大量攝像頭被入侵的情況。該公司的硬盤錄像機被全球約70多家公司貼牌出售,而當時應該也是有很多用戶并不能及時修復他們的設備,因為銷售廠商他們也在等待這家位于中國的廠商發布的補丁,來修復漏洞。
結語
隨著物聯網的發展,特別是智能家居逐步深入到家庭的每個角落中,物聯網設備的安全性已經與每個人,每個家庭緊緊掛鉤。提高物聯網設備的安全性以及設備廠商的安全響應能力已經是迫在眉睫。同時用戶在日常使用設備的過程中,應提高安全意識以及培養良好的安全習慣,比如新裝設備應及時更改并設置高強度密碼,定期查看設備登錄記錄等,如有可能,也可關閉設備的敏感服務端口,盡可能降低設備被入侵風險。
