IoT設備上的惡意軟件——經過漏洞、弱密碼滲透

時間 2019-11-18

標籤 iot 設備惡意軟件經過漏洞密碼滲透简体版

原文原文鏈接

2018年，是 IoT 高速發展的一年，從空調到電燈，從打印機到智能電視，從路由器到監控攝像頭通通都開始上網。隨着5G網絡的發展，咱們身邊的 IoT 設備會愈來愈多。與此同時，IoT 的安全問題也慢慢顯露出來。html

騰訊安全雲鼎實驗室對 IoT 安全進行了長期關注，本文經過雲鼎實驗室聽風威脅感知平臺收集的 IoT 安全情報進行分析，從IoT 的發展示狀、IoT 攻擊的常見設備、IoT 攻擊的主要地區和 IoT 惡意軟件的傳播方式等方面進行介紹。linux

1、IoT的發展示狀

圖片來自網絡

近幾年 IoT 設備數量飛速增加， 2018年一共有70億臺 IoT 設備，每一年保持20%左右的速度增加，到2020年預計 IoT 設備可達99億臺。web

圖全球 IoT 設備增加趨勢

數據來源： State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating

隨着 IoT 設備的普及，IoT 安全問題愈來愈多。根據卡巴斯基 IoT 安全報告 New trends in the world of IoT threats，近年來捕獲到的 IoT 惡意樣本數量呈現爆炸式的增加，從側面反映了 IoT 安全問題愈來愈嚴峻。安全

圖 IoT 惡意樣本數量

數據來源：卡巴斯基 New trends in the world of IoT threats

2、IoT攻擊常見設備與「黑客武器庫」

現實生活中哪些 IoT 設備最容易被攻擊呢？這是咱們在作研究時第一時間考慮的問題。服務器

被攻擊後的設備，一般會進入黑客的武器庫。黑客一般經過設備弱口令或者遠程命令執行漏洞對 IoT 設備進行攻擊，攻擊者經過蠕蟲感染或者自主的批量攻擊來控制批量目標設備，構建僵屍網絡，IoT 設備成爲了黑客最新熱愛的武器。網絡

圖 IoT 最常被攻擊的設備類型

數據來源：騰訊安全雲鼎實驗室

雲鼎實驗室聽風威脅感知平臺統計數據顯示，路由器、攝像頭和智能電視是被攻擊頻率最高的三款 IoT設備，佔比分別爲45.47%、20.71%和7.61%，實際中，攝像頭的比例會更高，本次統計數據未包含所有攝像頭弱口令攻擊數據。ssh

智能電視存在的安全隱患是 ADB 遠程經過5555端口的調試問題，電視存在被 root、被植入木馬的風險，本次不作過多介紹。下文中會重點討論路由器和攝像頭的安全問題。ide

（1）最受黑客歡迎的設備：路由器

據統計，路由器（多數爲家庭路由器）在 IoT 設備中的攻擊量佔比將近一半。大量惡意攻擊者利用主流的品牌路由器漏洞傳播惡意軟件，構建僵屍網絡。字體

如下爲最常被攻擊的路由器品牌佔比統計：加密

圖最常被攻擊路由器統計

數據來源：騰訊安全雲鼎實驗室

從統計數據中能夠看到，被攻擊的路由器多爲家庭路由器，一般市場保有量特別巨大，一旦爆出漏洞，影響範圍較廣。

例如：某公司 HG532 系列路由器在2017年11月爆出了一個遠程命令執行漏洞，而該系列路由器數量巨大，針對該系列路由器的攻擊和蠕蟲利用很是多,攻擊佔比高達40.99%。其次是 _Link 系列路由器，_Link 系列路由器爆出過多個遠程命令執行漏洞，所以也廣受惡意攻擊者歡迎。

如下爲惡意攻擊者利用較多的漏洞列表：

（2）經久不衰的攻擊：視頻攝像頭

2016年10月份，黑客經過操縱 Mirai 感染大量攝像頭和其餘設備，造成了龐大的僵屍網絡，對域名提供商 DYN 進行 DDoS 攻擊，致使了大面積網絡中斷，其中 Amazon、 Spotify、 Twitter 等知名網絡均受到影響。Mirai 僵屍網絡也成爲了 IoT 安全的標誌性事件。

針對攝像頭的攻擊主要是兩種方式，一是弱口令，二是漏洞利用。

A、攝像頭弱口令

密碼破解是攝像頭最經常使用的攻擊方式，通常利用廠家的默認密碼。

如下爲部分廠家攝像頭的最常使用的十大默認用戶名/密碼：

B、攝像頭漏洞

EXPLOIT DATABASE 收錄了120多個攝像頭漏洞，以下爲搜索到的部分品牌攝像頭漏洞：

3、IoT攻擊源統計

（1）歐美 — IoT 惡意代碼控制服務器的家鄉

雲鼎實驗室針對惡意代碼控制服務器進行了統計，篩選出了 IoT 惡意代碼控制服務器所在國 Top 10，位於國外的IoT 惡意代碼控制服務器佔比達到94.72%，中國僅佔5.28%， IoT 惡意代碼控制服務器大量分佈在美國和歐洲。

圖 IoT 惡意代碼控制服務器國家分佈 Top 10

數據來源：騰訊安全雲鼎實驗室

（2）中國成IoT攻擊活動最頻發的國家

圖 IoT 攻擊源國家分佈 Top 10

數據來源：騰訊安全雲鼎實驗室

注：數據來源於聽風蜜罐系統，存在數據的缺失和遺漏的狀況，本文只是大體統計趨勢和比例，一些國家的數據可能會缺失。

中國是全球IoT攻擊最多的國家，同時也是IoT攻擊最大的受害國。因爲中國擁有較多的 IoT設備，不少設備存在漏洞和弱口令，所以設備被惡意軟件感染的數量也較爲巨大，設備相互攻擊感染的問題較爲嚴重。

國內IoT安全問題：

對於國內的IoT安全問題，咱們統計了國內Top 10攻擊源省份：

圖 IoT 攻擊源中國省份Top 10

數據來源：騰訊安全雲鼎實驗室

IoT攻擊源最多的五個省份是江蘇、廣東、臺灣、北京和浙江，IoT的攻擊源分佈與 GDP有必定的關聯性。經濟發達的地區IoT設備更多、相關黑產也更加發達，也就成爲了重點的IoT 攻擊源。

長三角和珠三角是我國經濟最發榮的地區，同時也是IoT攻擊最氾濫的地區。下面是雲鼎實驗室對江蘇省和廣東省的 IoT 攻擊源分佈的統計狀況。

江蘇省IoT攻擊狀況以下：

圖 IoT 攻擊源江蘇省各地區分佈

數據來源：騰訊安全雲鼎實驗室

其中蘇州、揚州等長三角城市 IoT 攻擊較多，這與經濟發展狀況有必定的關聯。長三角各城市經濟發達，街邊各個商店的攝像頭（我的安裝）、路由器普及率很是高。設備多、設備漏洞多、缺少有效的管理，致使設備被利用，從而成爲較大的一個攻擊源。

廣東省 IoT 攻擊狀況以下：

圖 IoT 攻擊源廣東省各地區分佈

數據來源：騰訊安全雲鼎實驗室

廣東省的狀況是相似的，IoT 攻擊活躍在經濟發達地區，珠江三角洲最爲活躍的兩個城市分別是深圳和廣州。深圳做爲科技創新城市，大批量 IoT 設備在深圳生產，同時 IoT 設備被大批量普及，IoT漏洞廣泛存在，深圳也不乏相關的黑產團伙，從而 IoT 設備的安全問題也是很嚴重的。

4、 IoT惡意軟件傳播統計

（1）DDoS 依然是 IoT 惡意軟件的主流功能

因 IoT 設備近幾年的幾何級數的增加，已接近百億量級，但衆多不一樣設備，每每卻能夠被同一惡意代碼家族感染，這些家族主要的功能以 DDoS 居多。

下圖是 IoT 設備在 DDoS 上如此受黑客青睞的四個主要緣由。

幾何級數暴增：

IoT 設備的暴增爲 DDoS 的成長提供了溫牀。爲了利於遠程管理，IoT 設備廣泛暴露在互聯網中，爲承載 DDoS 功能的惡意樣本進行掃描和傳播提供了便利。同時各 IoT 廠家參差不齊的技術基礎，致使各 IoT 設備自身的系統與應用暴露出各類漏洞以被攻擊者惡意利用。

跨多平臺傳播：

承載 DDoS 攻擊的家族，每每用一套標準代碼，以各類 IoT 設備的弱口令、系統/應用漏洞的嵌入爲基礎，而後在mips、arm、x86等各類不一樣的平臺環境編譯器下進行編譯，最終達到一個家族跨多個平臺、互相感染傳播的目的，使傳播更迅速。

TB級流量攻擊：

IoT 設備數據龐大、安全性差、多數暴露外網，在跨多平臺家族樣本面前便不堪一擊。每每選好傳播弱口令與漏洞，從 IoT 僵屍網絡搭建到數量達到必定規模，每每幾天的時間即可完成。由於肉雞被抓取後便成爲了一個新的掃描源，如此反覆即是一個成倍遞增的掃描能力。而事實證實，十萬量級的僵屍網絡即可以打出TB 級的攻擊流量。