物聯(lián)網(wǎng)設(shè)備僵尸網(wǎng)絡(luò)趨勢(shì)分析
物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)作者正在適應(yīng)更安全的物聯(lián)網(wǎng)設(shè)備的轉(zhuǎn)變,這已經(jīng)將攻擊者的注意力轉(zhuǎn)移到利用物聯(lián)網(wǎng)設(shè)備的漏洞上。由于物聯(lián)網(wǎng)設(shè)備安全性仍處于起步階段,因此發(fā)現(xiàn)命令注入等基本漏洞并不少見。
2018年11月,NetScout的Asert團(tuán)隊(duì)成員通過部署蜜罐觀察到幾個(gè)舊的物聯(lián)網(wǎng)漏洞被用以傳遞惡意軟件。研究數(shù)據(jù)顯示,新型物聯(lián)網(wǎng)設(shè)備遭受針對(duì)已知漏洞的攻擊需要不到一天的時(shí)間,而使用默認(rèn)憑據(jù)(進(jìn)入蜜罐)強(qiáng)行登錄只需要不到5分鐘的時(shí)間。
主要發(fā)現(xiàn)
除了通常的強(qiáng)制路由之外,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)作者越來越多地將對(duì)物聯(lián)網(wǎng)相關(guān)漏洞的利用添加到他們的武器庫中。在某些情況下,攻擊者會(huì)通過嘗試?yán)靡阎┒礊閺?qiáng)行攻擊做后援。
由于修補(bǔ)物聯(lián)網(wǎng)設(shè)備更新固件的節(jié)奏之慢,部分相關(guān)漏洞在較長時(shí)間內(nèi)都是有效的攻擊載體。
研究人員收集的數(shù)據(jù)顯示,從物聯(lián)網(wǎng)設(shè)備上線到首次強(qiáng)攻開始,中間只需要不到5分鐘的時(shí)間。在24小時(shí)內(nèi),這些設(shè)備開始接收針對(duì)已知漏洞的攻擊嘗試。具體細(xì)節(jié)
使用基于物聯(lián)網(wǎng)的漏洞已經(jīng)幫助僵尸網(wǎng)絡(luò)開發(fā)者輕松地增加僵尸網(wǎng)絡(luò)感染的設(shè)備數(shù)量。例如,許多Mirai變體就中包括物聯(lián)網(wǎng)特定的漏洞。
根據(jù)研究人員的蜜罐數(shù)據(jù),從漏洞公開到僵尸網(wǎng)絡(luò)作者將其整合到僵尸網(wǎng)絡(luò)中的周轉(zhuǎn)速度很快,新舊物聯(lián)網(wǎng)相關(guān)漏洞混合在一起。主要原因如下:首先,在購買之前,物聯(lián)網(wǎng)設(shè)備可以在貨架上放置數(shù)周。如果為設(shè)備發(fā)布了安全更新,則在更新軟件之前不會(huì)將其應(yīng)用于這些設(shè)備,這會(huì)讓設(shè)備啟動(dòng)時(shí)即易遭受攻擊,能被迅速利用。蜜罐數(shù)據(jù)顯示,在有人掃描設(shè)備并嘗試強(qiáng)力登錄之前,設(shè)備連接到互聯(lián)網(wǎng)只需幾分鐘。其次,物聯(lián)網(wǎng)設(shè)備接收補(bǔ)丁的速度令人憂心。這些設(shè)備一度被誤認(rèn)為在安全性方面的工作可以“一勞永逸”。
在Hadoop YARN請(qǐng)求的沖擊下,研究者發(fā)現(xiàn)了一些與物聯(lián)網(wǎng)相關(guān)的老漏洞。這些漏洞包括CVE-2014-8361、CVE-2015-2051、CVE-2017-17215和CVE-2018-10561。圖1顯示了在11月試圖利用這些漏洞攻擊部署蜜罐的來源數(shù)量。
圖1
圖2中的示例顯示了使用CVE-2014-8361來提供Mirai的MIPS變體。正如在下面重點(diǎn)顯示的有效負(fù)載中看到的,該漏洞使用“wget”下載僵尸程序的副本并在易受攻擊的設(shè)備上執(zhí)行它。CVE-2014-8361于2015年4月公開披露,并已用于多個(gè)復(fù)雜物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò),如Satori和JenX。
圖2
圖3是CVE-2017-17215的一個(gè)例子,它用于提供另一種Mirai變種。以類似的方式,可以看到濫用“wget”下載機(jī)器人并在易受攻擊的設(shè)備上執(zhí)行它。CVE-2017-17215還被用于幾個(gè)高調(diào)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中。此漏洞于2017年12月披露,并于2017年12月25日在exploit-db上發(fā)布了概念驗(yàn)證。
圖3
由于連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量龐大,因此查找易受攻擊的設(shè)備非常便捷。當(dāng)易受攻擊的設(shè)備被“打開”并且應(yīng)用安全漏洞的更新時(shí),攻擊者可以快速收集大型僵尸網(wǎng)絡(luò)。在大多數(shù)情況下,這些僵尸網(wǎng)絡(luò)立即被征召入DDoS大軍中。正如我們?cè)?016年通過Mirai進(jìn)行的DDoS攻擊所看到的那樣,創(chuàng)建大型物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)并造成嚴(yán)重破壞并不需要花費(fèi)大量精力。未來我們將繼續(xù)看到使用基于物聯(lián)網(wǎng)的漏洞的增加。更新像Mirai這樣的僵尸網(wǎng)絡(luò)源代碼以利用這些漏洞的便利性起著重要作用。以最少的時(shí)間和資源創(chuàng)建更大的僵尸網(wǎng)絡(luò)的能力就是我們看到物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)數(shù)量趨勢(shì)變化背后的原因。