據調查，網絡罪犯對物聯網設備的興趣持續增長：在2018年上半年，攻擊智能設備的惡意軟件樣本數量是2017年全年的三倍。而在2017年，這個數字是2016年的十倍。這對未來幾年來說並不是個好兆頭。

這篇短文將對物聯網設備的感染媒介及其危害進行簡短分析。

某安全實驗室收集物聯網設備的惡意軟件樣本數量，2016-2018

暴力破解Telnet密碼仍然是針對物聯網設備最普遍的攻擊方式之一。在2018年第二季度，針對我們的蜜罐攻擊數量是所有其他類型總和的三倍。

當需要將惡意軟件下載到物聯網設備上時，網絡罪犯的首選是Mirai家族(20.9%)。

下載到被感染IoT設備上的惡意軟件前10名（Telnet密碼成功破解後）

被感染設備的地域分佈，2018年Q2

如圖所見，在2018年第二季度，發起Telnet密碼攻擊的IP地址數最多的國家是巴西(23%)，第二名是中國(17%)，俄羅斯排在第四位(7%)。總的來說，從1月1日到2018年7月，我們的Telnet蜜罐在866560個IP地址註冊了超過1200萬次，從27,693個IP地址下載了惡意軟件。

由於一些智能設備所有者將默認的Telnet密碼更改爲更復雜的密碼，而且許多設備根本不支持該協議，網絡罪犯一直在尋找新的感染途徑。因爲病毒編寫者之間的激烈競爭，導致密碼暴力破解攻擊變得越來越低效：一旦成功破解，設備密碼將被更改，Telnet的訪問將被阻止。

除了密碼暴力破解攻擊，使用替代技術的一個例子是“收割者殭屍網絡”(Reaper botnet)，在2017年底其囊括了約200萬臺物聯網設備。

這個殭屍網絡利用了已知的軟件漏洞:

· Vulnerabilities in D-Link 850L router firmware

· Vulnerabilities in GoAhead IP cameras

· Vulnerabilities in MVPower CCTV cameras

· Vulnerability in Netgear ReadyNAS Surveillance

· Vulnerability in Vacron NVR

· Vulnerability in Netgear DGN devices

· Vulnerabilities in Linksys E1500/E2500 routers

· Vulnerabilities in D-Link DIR-600 and DIR 300 – HW rev B1 routers

· Vulnerabilities in AVTech devices

這種分發方法相對於密碼破解的優勢如下：

· 感染髮生得更快。

· 修補軟件漏洞比更改密碼或禁用/阻止服務要難得多。

儘管這種方法更難實現，但它得到了許多病毒編寫者的青睞，不久就出現了利用智能設備軟件中已知漏洞的新木馬來發起攻擊的現象。

源自已知惡意軟件的新攻擊

爲了解哪些漏洞是被惡意軟件攻擊的目標，我們分析了試圖連接到陷阱上不同端口的數據。這是2018年第二季度的圖片:

絕大多數攻擊仍然來自Telnet和SSH密碼暴力破解。第三個最常見的攻擊是針對SMB服務的攻擊，該服務支持對文件的遠程訪問。雖然我們還沒有看到物聯網惡意軟件攻擊這個服務。但是，它有幾個版本包含一些已知的嚴重漏洞，比如EternalBlue (Windows)和EternalRed (Linux)，這些漏洞被用來分發臭名昭著的WannaCry和Monero cryptocurrency 挖礦軟件 EternalMiner。

以下是可能被感染的物聯網設備名單，這些設備在2018年第二季度對我們的蜜罐進行了攻擊：

可以看到，在RouterOS下運行的MikroTik設備遙遙領先。原因可能是Chimay-Red脆弱性。

端口7547

對端口7547上的遠程設備管理(TR-069規範)的攻擊非常常見。據專家分析，這個端口開放給世界上超過4000萬的設備。最近德國電信的100萬個路由器由此受到了攻擊，更不用說幫助傳播Mirai和Hajime惡意軟件家族了。

另一種攻擊利用了MikroTik路由器在低於6.38.4的RouterOS版本下運行時的Chimay-Red漏洞。在2018年3月，它在分發Hajime時發揮了很大作用。

IP攝像機

網絡犯罪雷達上也有IP攝像頭。在2017年3月，GoAhead設備的軟件檢測到幾個主要的漏洞，在相關信息發佈一個月後，出現了利用這些漏洞的Gafgyt和Persirai木馬的新版本。僅在這些惡意程序被廣泛傳播一週後，受感染的設備數量就攀升至5.7萬臺。

2018年6月8日，關於XionMai uc-httpd web服務器CVE-2018-10088漏洞的說明發布了——該漏洞用於一些中國製造的智能設備(例如KKMoon DVRs)。第二天，使用這個web服務器定位設備的日誌記錄次數增加了兩倍多。造成這種激增現象的罪魁禍首是Satori木馬，它以前以攻擊GPON路由器而聞名。

針對終端用戶的新惡意軟件和威脅

DDoS攻擊

一如既往地，IoT惡意軟件部署的主要目的是實施DDoS攻擊。受感染的智能設備成爲殭屍網絡的一部分，殭屍網絡通過命令攻擊特定地址，剝奪了主機正確處理來自真實用戶的請求的能力。Mirai家族、Hajime家族仍在使用這種攻擊。

對這些被感染設備的主人來說發生的最糟（也是最不可能出現的）情況就是被他們的網絡服務提供商給屏蔽掉，而重啓這些設備就能“治百病”。

Cryptocurrency挖礦

另一種攻擊案例與加密貨幣相關聯。例如，物聯網惡意軟件可以在受感染的設備上安裝挖礦軟件。但考慮到智能設備的低處理能力，這種攻擊的可行性仍存在疑問。

一種更狡猾、更可行的獲取加密貨幣的方法是由Satori Trojan發明的。在這裏，受害者物聯網設備充當了一種打開高性能PC大門的鑰匙：

最開始，攻擊者嘗試使用已知漏洞感染儘可能多的路由器，特別是這些漏洞：

△CVE-2014-8361 - Realtek SDK中miniigd SOAP服務中的遠程代碼執行漏洞。

△CVE 2017-17215 - 華爲HG532路由器固件中的遠程代碼執行漏洞。

△CVE-2018-10561，CVE-2018-10562 - 授權繞過並在Dasan GPON路由器上執行任意命令的漏洞。

△CVE-2018-10088 - 在一些中國製造商生產的某些路由器和其他智能設備的固件中使用的XiongMai uc-httpd 1.0.0中的緩衝區溢出漏洞。

通過使用損壞的路由器和Claymore Etherium礦商遠程管理工具中的CVE-2018-1000049漏洞，他們將錢包地址替換爲自己的地址。

數據失竊

2018年5月檢測到的VPNFilter Trojan攻擊目的有點不太一樣，它主要是攔截受感染設備的通信，從其中提取重要數據(用戶名、密碼等)，並將其發送到網絡罪犯的服務器。以下是VPNFilter的主要特點:

→模塊化的體系結構。惡意軟件的創造者可以在運行中爲它安裝新的功能。例如，將javascript代碼注入被截獲的web頁面。

→防重新啓動。木馬會把自己寫入標準的Linux crontab作業調度器，還可以修改設備NVRAM中的配置設置。

→使用TOR與C&C進行通信。

→能夠自毀和禁用設備。在收到命令後，木馬會刪除自己，用垃圾數據覆蓋固件的關鍵部分，然後重新啓動設備。

→木馬的分發方法仍然未知——它的代碼不包含自傳播機制。然而，我們傾向於認爲它利用設備軟件中已知的漏洞進行感染。

VPNFilter的第一份報告提到了大約50萬個受感染的設備。自那以後，更多受感染電子產品出現了，數量也大大增加。

截至6月中旬，受感染設備名單包括以下品牌:

· ASUS

· D-Link

· Huawei

· Linksys

· MikroTik

· Netgear

· QNAP

· TP-Link

· Ubiquiti

· Upvel

· ZTE

比較糟糕的是，這些製造商的設備不僅被用於企業網絡，還經常被用作家庭路由器。

結論

智能設備正在崛起，一些預測顯示，到2020年，智能設備的數量將比世界人口多幾倍。然而，製造商仍然沒有優先考慮安全性——在初始設置期間沒有更改默認密碼的提醒，也沒有關於新固件版本發佈的通知，而更新過程本身對於普通用戶來說可能很複雜。這使得物聯網設備成爲網絡罪犯的首要目標。它們比個人電腦更容易感染，在家庭基礎設施中經常扮演重要角色——一些截取互聯網流量，另一些盜攝視頻，還有一些控制家庭設備(例如空調)。

針對智能設備的惡意軟件不僅數量在增加，版本也在升級。在傳統的DDoS攻擊之外，越來越多的攻擊被網絡罪犯武器化，被感染的設備被用來竊取個人數據和挖掘加密貨幣。

以下是一些簡單的技巧，可以幫助您將智能設備感染的風險降至最低：

△除非絕對必要，否則不要從外部網絡訪問設備。

△定期重新啓動將有助於消除已經安裝的惡意軟件（儘管在大多數情況下，重新感染的風險仍然存在）。

△定期檢查新的固件版本並更新設備。

△使用至少8個字符長的複雜密碼，包括大小寫字母、數字和特殊字符。

△在初始設置時更改出廠密碼(即使設備沒有提示您這樣做)。

△關閉未使用的端口，如果有這樣的選項。例如，如果您沒有通過Telnet(端口TCP:23)連接到路由器，那麼禁用它是一個好主意，以便關閉一個潛在的入侵者漏洞。

*參考來源：Kaspersky Lab，青松小編 shell 編譯，轉載請註明來自Qssec.COM