應用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

物聯(lián)網(wǎng)設(shè)備僵尸網(wǎng)絡趨勢分析

2018-12-18 09:14 黑客視界

導讀:物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡作者正在適應更安全的物聯(lián)網(wǎng)設(shè)備的轉(zhuǎn)變,這已經(jīng)將攻擊者的注意力轉(zhuǎn)移到利用物聯(lián)網(wǎng)設(shè)備的漏洞上。由于物聯(lián)網(wǎng)設(shè)備安全性仍處于起步階段,因此發(fā)現(xiàn)命令注入等基本漏洞并不少見。

物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡作者正在適應更安全的物聯(lián)網(wǎng)設(shè)備的轉(zhuǎn)變,這已經(jīng)將攻擊者的注意力轉(zhuǎn)移到利用物聯(lián)網(wǎng)設(shè)備的漏洞上。由于物聯(lián)網(wǎng)設(shè)備安全性仍處于起步階段,因此發(fā)現(xiàn)命令注入等基本漏洞并不少見。

2018年11月,NetScout的Asert團隊成員通過部署蜜罐觀察到幾個舊的物聯(lián)網(wǎng)漏洞被用以傳遞惡意軟件。研究數(shù)據(jù)顯示,新型物聯(lián)網(wǎng)設(shè)備遭受針對已知漏洞的攻擊需要不到一天的時間,而使用默認憑據(jù)(進入蜜罐)強行登錄只需要不到5分鐘的時間。

主要發(fā)現(xiàn)

  • 除了通常的強制路由之外,物聯(lián)網(wǎng)僵尸網(wǎng)絡作者越來越多地將對物聯(lián)網(wǎng)相關(guān)漏洞的利用添加到他們的武器庫中。在某些情況下,攻擊者會通過嘗試利用已知漏洞為強行攻擊做后援。

  • 由于修補物聯(lián)網(wǎng)設(shè)備更新固件的節(jié)奏之慢,部分相關(guān)漏洞在較長時間內(nèi)都是有效的攻擊載體。

  • 研究人員收集的數(shù)據(jù)顯示,從物聯(lián)網(wǎng)設(shè)備上線到首次強攻開始,中間只需要不到5分鐘的時間。在24小時內(nèi),這些設(shè)備開始接收針對已知漏洞的攻擊嘗試。

具體細節(jié)

使用基于物聯(lián)網(wǎng)的漏洞已經(jīng)幫助僵尸網(wǎng)絡開發(fā)者輕松地增加僵尸網(wǎng)絡感染的設(shè)備數(shù)量。例如,許多Mirai變體就中包括物聯(lián)網(wǎng)特定的漏洞。

根據(jù)研究人員的蜜罐數(shù)據(jù),從漏洞公開到僵尸網(wǎng)絡作者將其整合到僵尸網(wǎng)絡中的周轉(zhuǎn)速度很快,新舊物聯(lián)網(wǎng)相關(guān)漏洞混合在一起。主要原因如下:首先,在購買之前,物聯(lián)網(wǎng)設(shè)備可以在貨架上放置數(shù)周。如果為設(shè)備發(fā)布了安全更新,則在更新軟件之前不會將其應用于這些設(shè)備,這會讓設(shè)備啟動時即易遭受攻擊,能被迅速利用。蜜罐數(shù)據(jù)顯示,在有人掃描設(shè)備并嘗試強力登錄之前,設(shè)備連接到互聯(lián)網(wǎng)只需幾分鐘。其次,物聯(lián)網(wǎng)設(shè)備接收補丁的速度令人憂心。這些設(shè)備一度被誤認為在安全性方面的工作可以“一勞永逸”。

在Hadoop YARN請求的沖擊下,研究者發(fā)現(xiàn)了一些與物聯(lián)網(wǎng)相關(guān)的老漏洞。這些漏洞包括CVE-2014-8361、CVE-2015-2051、CVE-2017-17215和CVE-2018-10561。圖1顯示了在11月試圖利用這些漏洞攻擊部署蜜罐的來源數(shù)量。

圖1

圖2中的示例顯示了使用CVE-2014-8361來提供Mirai的MIPS變體。正如在下面重點顯示的有效負載中看到的,該漏洞使用“wget”下載僵尸程序的副本并在易受攻擊的設(shè)備上執(zhí)行它。CVE-2014-8361于2015年4月公開披露,并已用于多個復雜物聯(lián)網(wǎng)僵尸網(wǎng)絡,如Satori和JenX。

圖2

圖3是CVE-2017-17215的一個例子,它用于提供另一種Mirai變種。以類似的方式,可以看到濫用“wget”下載機器人并在易受攻擊的設(shè)備上執(zhí)行它。CVE-2017-17215還被用于幾個高調(diào)的物聯(lián)網(wǎng)僵尸網(wǎng)絡中。此漏洞于2017年12月披露,并于2017年12月25日在exploit-db上發(fā)布了概念驗證。

圖3

由于連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量龐大,因此查找易受攻擊的設(shè)備非常便捷。當易受攻擊的設(shè)備被“打開”并且應用安全漏洞的更新時,攻擊者可以快速收集大型僵尸網(wǎng)絡。在大多數(shù)情況下,這些僵尸網(wǎng)絡立即被征召入DDoS大軍中。正如我們在2016年通過Mirai進行的DDoS攻擊所看到的那樣,創(chuàng)建大型物聯(lián)網(wǎng)僵尸網(wǎng)絡并造成嚴重破壞并不需要花費大量精力。未來我們將繼續(xù)看到使用基于物聯(lián)網(wǎng)的漏洞的增加。更新像Mirai這樣的僵尸網(wǎng)絡源代碼以利用這些漏洞的便利性起著重要作用。以最少的時間和資源創(chuàng)建更大的僵尸網(wǎng)絡的能力就是我們看到物聯(lián)網(wǎng)僵尸網(wǎng)絡數(shù)量趨勢變化背后的原因。