2018 年 IoT 那些事兒

本文做者：murphyzhang、xmy、fen @騰訊安全雲鼎實驗室

 

2018年，是 IoT 高速發展的一年，從空調到電燈，從打印機到智能電視，從路由器到監控攝像頭通通都開始上網。隨着5G網絡的發展，咱們身邊的 IoT 設備會愈來愈多。與此同時，IoT 的安全問題也慢慢顯露出來。

 

騰訊安全雲鼎實驗室對 IoT 安全進行了長期關注，本文經過雲鼎實驗室聽風威脅感知平臺收集的 IoT 安全情報進行分析，從IoT 的發展示狀、IoT 攻擊的常見設備、IoT 攻擊的主要地區和 IoT 惡意軟件的傳播方式等方面進行介紹。

 

 

1、IoT 的發展示狀

 

圖片來自網絡

 

 

近幾年 IoT 設備數量飛速增加， 2018年一共有70億臺 IoT 設備，每一年保持20%左右的速度增加，到2020年預計 IoT 設備可達99億臺。

 

圖

▽

全球 IoT 設備增加趨勢

<ignore_js_op>

 

數據來源：State of the IoT 2018:Number of IoT devices now at 7B – Market accelerating

 

 

隨着 IoT 設備的普及，IoT 安全問題愈來愈多。根據卡巴斯基 IoT 安全報告 New trends in the world ofIoT threats，近年來捕獲到的 IoT 惡意樣本數量呈現爆炸式的增加，從側面反映了 IoT 安全問題愈來愈嚴峻。

 

 

圖

▽

IoT 惡意樣本數量

<ignore_js_op>

數據來源：卡巴斯基New trends in the world of IoT threats

 

2、IoT 攻擊常見設備與「黑客武器庫」

 

現實生活中哪些 IoT 設備最容易被攻擊呢？這是咱們在作研究時第一時間考慮的問題。

 

被攻擊後的設備，一般會進入黑客的武器庫。黑客一般經過設備弱口令或者遠程命令執行漏洞對 IoT 設備進行攻擊，攻擊者經過蠕蟲感染或者自主的批量攻擊來控制批量目標設備，構建僵屍網絡，IoT 設備成爲了黑客最新熱愛的武器。

 

 

圖

▽

IoT 最常被攻擊的設備類型

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

 

雲鼎實驗室聽風威脅感知平臺統計數據顯示，路由器、攝像頭和智能電視是被攻擊頻率最高的三款 IoT設備，佔比分別爲45.47%、20.71%和7.61%，實際中，攝像頭的比例會更高，本次統計數據未包含所有攝像頭弱口令攻擊數據。

 

智能電視存在的安全隱患是 ADB 遠程經過5555端口的調試問題，電視存在被 root、被植入木馬的風險，本次不作過多介紹。下文中會重點討論路由器和攝像頭的安全問題。

 

（1）最受黑客歡迎的設備：路由器

 

據統計，路由器（多數爲家庭路由器）在 IoT 設備中的攻擊量佔比將近一半。大量惡意攻擊者利用主流的品牌路由器漏洞傳播惡意軟件，構建僵屍網絡。

如下爲最常被攻擊的路由器品牌佔比統計：

 

圖 最常被攻擊路由器統計

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

 

從統計數據中能夠看到，被攻擊的路由器多爲家庭路由器，一般市場保有量特別巨大，一旦爆出漏洞，影響範圍較廣。

 

例如：某公司 HG532 系列路由器在2017年11月爆出了一個遠程命令執行漏洞，而該系列路由器數量巨大，針對該系列路由器的攻擊和蠕蟲利用很是多,攻擊佔比高達40.99%。其次是*_Link 系列路由器，*_Link 系列路由器爆出過多個遠程命令執行漏洞，所以也廣受惡意攻擊者歡迎。

 

如下爲惡意攻擊者利用較多的漏洞列表：

 

經常使用端口	漏洞
37215	某公司 HG532 系列路由器遠程命令執行漏洞（CVE-2017-17215）
49152	多個 *_Link 產品 UPnP SOAP  接口多個命令注入漏洞
80/8080	*_Link DIR-600 和DIR-300 中的多個漏洞
52869	*ealtek SDK 的 miniigd  SOAP 服務中的遠程代碼執行漏洞（CVE-2014-8361）
80/8080	*inksys多款路由器tmUnblock.cgi  ttcp_ip參數遠程命令執行漏洞（CNVD-2014-01260）
80/8080	某公司GPON光纖路由器命令執行漏洞（CVE-2018-10561/62）
8080	*etGear DGN設備遠程任意命令執行漏洞
53413	*etcore(*etis)路由器53413/UDP後門服務漏洞
7547	*IR D1000無線路由器 WAN 端遠程命令注入

 

 

（2）經久不衰的攻擊：視頻攝像頭

 

2016年10月份，黑客經過操縱Mirai 感染大量攝像頭和其餘設備，造成了龐大的僵屍網絡，對域名提供商 DYN 進行 DDoS 攻擊，致使了大面積網絡中斷，其中 Amazon、 Spotify、Twitter 等知名網絡均受到影響。Mirai 僵屍網絡也成爲了 IoT 安全的標誌性事件。

針對攝像頭的攻擊主要是兩種方式，一是弱口令，二是漏洞利用。

 

A、攝像頭弱口令

 

密碼破解是攝像頭最經常使用的攻擊方式，通常利用廠家的默認密碼。

 

如下爲部分廠家攝像頭的最常使用的十大默認用戶名/密碼：

 

十大默認用戶名/密碼
admin/admin	Admin/1234
admin/1234	admin/123456
admin/<無密碼>	admin/password
admin/12345	root/pass
root/<無密碼>	root/camera

 

B、攝像頭漏洞

 

EXPLOIT DATABASE 收錄了120多個攝像頭漏洞，以下爲搜索到的部分品牌攝像頭漏洞：

 

<ignore_js_op>

 

3、IoT 攻擊源統計

 

（1）歐美— IoT 惡意代碼控制服務器的家鄉

 

雲鼎實驗室針對惡意代碼控制服務器進行了統計，篩選出了 IoT 惡意代碼控制服務器所在國 Top 10，位於國外的IoT 惡意代碼控制服務器佔比達到94.72%，中國僅佔5.28%，IoT 惡意代碼控制服務器大量分佈在美國和歐洲。

 

圖 IoT 惡意代碼控制服務器國家分佈 Top 10

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

（2）中國成IoT攻擊活動最頻發的國家

圖 IoT 攻擊源國家分佈 Top 10

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

注：數據來源於聽風蜜罐系統，存在數據的缺失和遺漏的狀況，本文只是大體統計趨勢和比例，一些國家的數據可能會缺失。

 

 

中國是全球IoT攻擊最多的國家，同時也是IoT攻擊最大的受害國。因爲中國擁有較多的 IoT設備，不少設備存在漏洞和弱口令，所以設備被惡意軟件感染的數量也較爲巨大，設備相互攻擊感染的問題較爲嚴重。

 

國內IoT安全問題：

 

對於國內的IoT安全問題，咱們統計了國內Top 10攻擊源省份：

 

圖 IoT 攻擊源中國省份Top 10

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

 

IoT攻擊源最多的五個省份是 江蘇、廣東、臺灣、北京和浙江，IoT的攻擊源分佈與 GDP有必定的關聯性。經濟發達的地區IoT設備更多、相關黑產也更加發達，也就成爲了重點的IoT 攻擊源。

 

長三角和珠三角是我國經濟最發榮的地區，同時也是IoT攻擊最氾濫的地區。下面是雲鼎實驗室對江蘇省和廣東省的 IoT 攻擊源分佈的統計狀況。

 

江蘇省IoT攻擊狀況以下：

 

圖 IoT 攻擊源江蘇省各地區分佈

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

 

其中蘇州、揚州等長三角城市 IoT 攻擊較多，這與經濟發展狀況有必定的關聯。長三角各城市經濟發達，街邊各個商店的攝像頭（我的安裝）、路由器普及率很是高。設備多、設備漏洞多、缺少有效的管理，致使設備被利用，從而成爲較大的一個攻擊源。

 

廣東省 IoT 攻擊狀況以下：

 

圖 IoT 攻擊源廣東省各地區分佈

<ignore_js_op>

 

數據來源：騰訊安全雲鼎實驗室

 

 

廣東省的狀況是相似的，IoT 攻擊活躍在經濟發達地區，珠江三角洲最爲活躍的兩個城市分別是深圳和廣州。深圳做爲科技創新城市，大批量 IoT 設備在深圳生產，同時 IoT 設備被大批量普及，IoT漏洞廣泛存在，深圳也不乏相關的黑產團伙，從而 IoT 設備的安全問題也是很嚴重的。

 

 

4、IoT惡意軟件傳播統計

（1）DDoS 依然是 IoT 惡意軟件的主流功能

 

因 IoT 設備近幾年的幾何級數的增加，已接近百億量級，但衆多不一樣設備，每每卻能夠被同一惡意代碼家族感染，這些家族主要的功能以 DDoS 居多。

 

下圖是 IoT 設備在 DDoS 上如此受黑客青睞的四個主要緣由。

<ignore_js_op>

 

 

●  幾何級數暴增：

IoT 設備的暴增爲 DDoS 的成長提供了溫牀。爲了利於遠程管理，IoT 設備廣泛暴露在互聯網中，爲承載 DDoS 功能的惡意樣本進行掃描和傳播提供了便利。同時各 IoT 廠家參差不齊的技術基礎，致使各 IoT 設備自身的系統與應用暴露出各類漏洞以被攻擊者惡意利用。

 

●  跨多平臺傳播：

承載 DDoS 攻擊的家族，每每用一套標準代碼，以各類 IoT 設備的弱口令、系統/應用漏洞的嵌入爲基礎，而後在mips、arm、x86等各類不一樣的平臺環境編譯器下進行編譯，最終達到一個家族跨多個平臺、互相感染傳播的目的，使傳播更迅速。

 

●  TB級流量攻擊：

IoT 設備數據龐大、安全性差、多數暴露外網，在跨多平臺家族樣本面前便不堪一擊。每每選好傳播弱口令與漏洞，從 IoT 僵屍網絡搭建到數量達到必定規模，每每幾天的時間即可完成。由於肉雞被抓取後便成爲了一個新的掃描源，如此反覆即是一個成倍遞增的掃描能力。而事實證實，十萬量級的僵屍網絡即可以打出TB 級的攻擊流量。

 

●  慢速 CC 攻擊：

因 CC 攻擊是創建在TCP 三次握手之上，因此以發包機形式進行攻擊能力較弱，這也是肉雞在 DDoS 上的一個不可替代的功能。IoT 肉雞正是此攻擊較好的攻擊載體，如此大量的肉雞羣，再輔以慢速CC攻擊方式，DDoS 防護設備較難以數量統計閾值等方法進行檢測。

（2）超過8成惡意軟件具有自我傳播功能

 

經過分析，發現近8成惡意軟件具備自我傳播的功能模塊，說明攻擊者更傾向於經過蠕蟲的方式構建僵屍網絡。

 

對於攻擊者來講，傳播 IoT 惡意軟件有兩種方式：

 

A、利用服務器進行集中式掃描攻擊，並向 IoT 設備植入惡意軟件

因爲服務器的硬件配置較高，可以同時發起大量掃描攻擊，且攻擊者能夠隨時添加新的掃描攻擊模塊。對於攻擊者來講，這種方式更加靈活可控。

 

B、經過蠕蟲傳播攻擊

每一個被惡意軟件感染的設備都會主動掃描其餘設備並進行攻擊。能夠快速讓僵屍網絡指數級的增加。

 

 

（3）弱口令傳播方式依舊盛行，Telnet/SSH 是主要傳播途徑

 

弱口令攻擊是 IoT 惡意軟件的傳播方式之一，最流行的傳播途徑是 Telnet，其次是 SSH。

 

下面列舉一些惡意樣本中出現的特定設備賬號和弱密碼：

設備	賬號	密碼
某公司E-140W-P光貓	telnetadmin	telnet***
某公司HGU421v3光貓	e8telnet	e8te***
某公司E8C光貓	e8ehome	e8e***
某公司寬帶	telecomadmin	nE7j***
某公司光貓	root	Zte***
某公司攝像頭	root	vi***
某公司DVR	admin	xc3***
某公司光貓	root	hg***

 

2016年 Mirai事件爆發後，IoT設備的弱口令問題獲得普遍關注，一些設備使用者修改了默認密碼，提升了設備安全性。

 

 

（4）IoT 漏洞傳播成爲惡意軟件主流的傳播方式

 

IoT廠商的防護意識逐漸加強，弱口令傳播方式效果逐漸減弱，攻擊者開始使用漏洞進行惡意軟件的植入。

 

因爲 IoT 設備固件更新慢、IoT 廠商對漏洞不重視、IoT 設備用戶對漏洞不重視 這三個緣由致使市面上存在大量的有漏洞 IoT 設備。 這些設備會長期在線，即便用戶設備被感染，用戶也沒有什麼感知。 這也是 IoT 僵屍網絡與 傳統PC僵屍網絡的區別---更大數量、更易得到、更加穩定。

這裏以IoT 惡意軟件 Linux.Omni爲例，該惡意軟件使用了11種不一樣的漏洞，包括經常使用的路由器與攝像頭漏洞，紅色字體爲最多利用的漏洞。

 

漏洞	影響設備
CVE-2018-10561，CVE-2018-10562	*asan  GPON路由器
CVE-2014-8361	使用帶有miniigd 守護程序的 *ealtek SDK的不一樣設備
*etGear setup.cgi未經身份驗證的RCE	*etGear DGN1000路由器
CVE-2017-17215	某公司  HG532
*IR WAN側遠程命令注入	*IR D1000  路由器
HNAP SoapAction-Header命令執行	*_Link設備
CCTV / DVR遠程執行代碼	來自70多家供應商的閉路電視，DVR
JAWS Webserver未經身份驗證的shell命令執行	*VPower DVR 等
UPnP SOAP TelnetD命令執行	*_Link 設備
*etGear cgi-bin命令注入	*etGear R7000 / R6400 設備
*acron NVR RCE	*acron NVR 設備

 

 

5、總結

 

將來隨着 IoT 和5G通信的發展，IoT 設備的數量將會呈現爆發式增加，針對 IoT 設備的安全事件也將呈現一樣的趨勢。

 

（1）將來IoT安全趨勢

 

一、 針對 IoT 設備的攻擊量將遠遠超過其餘攻擊目標，IoT設備成爲網絡攻擊的最大受害者。

二、 經過 IoT 設備發起的攻擊將打破傳統安全的防護形式，迫使安全廠商思考新的防護思路。（例如：Mirai發起的的 DDOS攻擊）

三、 被攻擊 IoT 的設備將呈現多樣化，再也不侷限於路由器、攝像頭、打印機等設備，更多的 IoT 設備如智能空調、自動售貨機、可穿戴設備將會成爲被攻擊目標。

四、 IoT 設備將成爲惡意挖礦軟件和勒索軟件的下一個目標，醫院、ATM、工控、電力等將成爲主要的重災區。

五、 IoT 的攻擊將愈來愈專業化，將出現愈來愈多的政治目的的攻擊。

這些趨勢將使 IoT 安全形式更加嚴峻，不只僅關係到企業安全，也關係到每個家庭，每個人，IoT 安全將成爲國家網絡空間安全戰略極其重要的一部分。

 

 

（2）防禦建議

 

A、對於我的用戶：

下面是一些減少 IoT 設備感染風險的建議：

初始設置時更改設備默認密碼，修改成複雜密碼。

按期檢查是否有固件的新版本發佈並更新固件版本。

如無絕對必要，不要將 IoT 設備端口向互聯網開放。

 

 

B、對於IoT廠商：

下面對於IoT的安全性進行一些建議：

安全啓動： 每次啓動時，有必要經過證書來驗證所有有效執啓動程序。

及時跟新補丁和固件：在漏洞出現時，及時跟新補丁，以避免形成重大影響。

數據中心安全：設備和雲端的數據交互，要保證雲端數據和服務的安全。建議使用騰訊雲做爲雲端支撐。

數據安全：不管是通信中，仍是在設備內部存儲上看，數據安全性是經過加密來保障的。

加密密鑰管理：使用動態密碼，不使用固化的靜態密碼。，默認密碼致使的弱密碼都是可入侵的漏洞。

 

參考連接：

http://blog.nsfocus.net/IoT-security-webcam/

http://www.123anfang.com/ip-camera-default-account-password-list.html

https://www.secpulse.com/archives/5852.html

https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/

http://blog.nsfocus.net/wp-content/uploads/2017/06/Mirai代碼及原理分析.pdf

https://blog.apnic.net/2017/03/21/questions-answered-mirai-botnet/

https://mobidev.biz/blog/IoT-trends-for-business-2018-and-beyond

https://iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/

 

 

騰訊安全雲鼎實驗室 關注雲主機與雲內流量的安全研究和安全運營。利用機器學習與大數據技術實時監控並分析各種風險信息，幫助客戶抵禦高級可持續攻擊；聯合騰訊全部安全實驗室進行安全漏洞的研究，確保雲計算平臺總體的安全性。相關能力經過騰訊雲開放出來，爲用戶提供黑客入侵檢測和漏洞風險預警等服務，幫助企業解決服務器安全問題。