物联网设备(路由器、摄像头、NAS盒子和智能家居组件)每年都在成倍增长。数据预计,到2030年,物联网设备将超过290亿台。随着连接设备数量的增加,防御各种威胁的需求也在增加。卡巴斯基最新发布的《2023年物联网(IoT)威胁概述》为了解针对这些设备的攻击方法、暗网活动和流行的恶意软件类型提供了重要见解。
一、攻击向量
物联网主要有两种感染途径:暴力破解弱密码和利用网络服务中的漏洞。
Telnet是一种非常流行的未加密物联网文本协议,是暴力破解的主要目标。成功破解密码后,攻击者可以在设备上执行任意命令并注入恶意软件。对使用SSH(一种更高级的通信加密协议)的服务进行暴力破解攻击也会产生类似的结果。但是,攻击SSH需要占用更多的资源,且与Telnet相比,其可以在线访问的服务数量也较少。
2023年上半年,卡巴斯基蜜罐登记的密码暴力破解尝试中有97.91%针对Telnet,只有2.09%针对SSH。执行这些攻击的受感染设备大多来自印度和美国,而巴基斯坦和俄罗斯则是攻击最活跃的国家。
【2023年上半年,攻击卡巴斯基蜜罐最多的设备所在地TOP10榜单】
【2023年上半年,卡巴斯基蜜罐遭受攻击次数最高的TOP10国家/地区榜单】
由于在物联网设备上运行的Telnet和SSH服务通常使用众所周知的默认密码,因此暴力破解攻击相当常见。不幸的是,用户往往不会更改这些密码。更糟糕的是,许多物联网设备的主密码都是由制造商设置的,不可更改。
另一种入侵设备的方法是利用在设备上运行的服务中的漏洞。在向网络接口发送的请求中注入恶意代码是利用漏洞的最常见方式。这些攻击的后果可能非常严重,例如ISP用于自动配置局域网设备的TR-064协议实施中的一个漏洞。该安全漏洞允许未经认证的TR-064数据包传输,从而导致Mirai恶意软件的扩散。
不过,无论采用哪种入侵技术,物联网设备都可能受到来自恶意行为者自身服务器和恶意软件所谓的“自我传播式”攻击,它是指恶意文件在网上寻找易受攻击的设备,并通过各种手段将副本植入其中。在后一种情况下,攻击也可能来自较早感染的物联网设备。
二、暗网服务:DDoS攻击、僵尸网络和零日物联网漏洞
卡巴斯基的研究发现了一个针对物联网相关服务的蓬勃发展的暗网地下经济。值得注意的是,黑客们对通过物联网组成的僵尸网络提供的分布式拒绝服务(DDoS)攻击需求很大。
2023年上半年,卡巴斯基数字足迹情报服务分析人员在各种暗网论坛上发现了700多条DDoS攻击服务广告。
【2023年上半年DDoS攻击服务广告(按月分布)】
这些服务的成本取决于受害者方面的DDoS保护、验证码和JavaScript验证等因素,从每天20美元到每月10,000美元不等。广告提供的这些服务的平均价格为每天63.5美元或每年1350美元。
暗网销售的另一种服务是物联网黑客。网络犯罪分子寻求利用物联网设备中的零日漏洞。
此外,暗网市场还提供针对物联网设备中的零日漏洞的漏洞利用程序,以及与基础设施和支持工具捆绑在一起的物联网恶意软件。
在下面的截图中,供应商提供的是一个自制的DDoS机器人,配有C2服务器和通过Telnet或SSH上传恶意软件的软件:
下面是一张广告截图,发帖者在广告中寻求恶意软件和安装帮助。
在某些情况下,卖家或买家指定物联网设备的目标类型。
【卡巴斯基威胁情报门户流广告截图】
在极少数情况下,暗网论坛上也可以购买到预感染设备网络。不过,这种性质的广告并不常见。例如,下面截图中的用户正在为位于阿根廷的由200台路由器和摄像头组成的僵尸网络寻找新的所有者。
三、攻击物联网的恶意软件的目标和类型
感染物联网设备的恶意行为者可能存在不同的目标,他们可能希望利用受感染的硬件作为发动网络攻击的工具,伪装恶意流量,利用设备资源进行加密货币挖掘;或索要赎金以恢复对设备的访问。有些攻击者可能会攻击任何物联网设备,而另一些攻击者则只攻击能够实现其目标的某些类型的硬件。下面,我们将概述物联网恶意软件的特定目的和类型。
1. DDoS僵尸网络
劫持设备并利用其发起针对各种服务的DoS攻击的木马程序是最常见的物联网恶意软件类型。对于DDoS恶意软件而言,目标设备的类型无关紧要,因为每台设备都能实现攻击者的目标:通过网络发送请求。尽管这些恶意程序大多源于修改过的Mirai代码,但还有许多其他家族在传播和获得持久性的技术上有所差异。
例如,RapperBot虽然利用了Mirai代码库的一部分,但其主要由原创代码组成。它的功能包括通过分析从Telnet服务接收到的身份验证数据初始请求,来实现智能暴力破解。恶意软件可以使用该请求来识别设备类型,并继续暴力破解仅适用于该类型的密码,从而提高其自我传播性能。
2. 勒索软件
与DDoS恶意程序不同,勒索软件主要针对包含用户数据的物联网设备:NAS盒子(NAS boxes)。2022年影响到数千台QNAP NAS设备的DeadBolt就是物联网勒索软件的一个突出例子。该攻击利用了CVE-2022-27593漏洞,允许恶意行为者修改盒子上的系统文件。用户文件被加密,设备界面显示一条赎金通知,要求支付0.03比特币才能恢复数据。尽管制造商发布了解决该漏洞的更新,但类似的攻击仍令人担忧。
3. 挖矿程序
在Mirai活动中,尽管物联网设备的处理能力较低,但攻击者还是试图使用物联网设备进行比特币挖矿。不过,由于效率相对较低,这种做法尚未普及。
4. DNS修改器
恶意行为者可能会利用物联网设备来攻击连接到它们的用户。2022年,一个名为“漫游螳螂”(Roaming Mantis,或称“Shaoye”)的活动传播了一款安卓应用程序,其功能包括通过管理界面修改Wi-Fi路由器上的DNS设置。任何仍在使用默认访问凭证(如admin:admin)的路由器都可能被感染。在这样的设备上,配置将被修改,使其使用运营商的DNS服务器。然后,该服务器会将所有连接到路由器的用户重定向到一个网站,该网站会向安卓设备上传恶意APK文件,并在iOS设备上显示钓鱼网页。
5. 代理机器人
滥用受感染物联网设备的另一种普遍方式是将其用作代理服务器,重定向恶意流量,使其难以追踪。这些代理服务器主要用于垃圾邮件活动、规避反欺诈系统和各种网络攻击。
四、物联网恶意软件:竞争与持续性
在物联网恶意软件领域,存在各种各样的恶意软件家族,其中许多源自2016年的Mirai One。2016年,Mira的源代码被发布在一个暗网论坛上,短时间内就出现了数百种修改,这些修改使用了各种DDoS技术、暴力破解字典和利用漏洞进行自我传播。
网络罪犯之间的激烈竞争推动了他们开发用于阻止竞争对手恶意软件的功能。其中,最常用的先发制人策略是添加防火墙规则,阻止传入连接尝试。关闭远程设备管理服务的情况较少。恶意软件会搜索某些进程名称、扫描端口并分析设备内存中的恶意模式,以抑制设备上已有的感染。在黑客争夺设备控制权时,与竞争对手相关的进程会被终止,文件也会被删除。
五、物联网设备缺乏安全性而引发的其他威胁
攻击者对联网摄像头表现出了浓厚的兴趣,这一点在购买和出售受感染物联网设备访问权的广告中得到了印证。通过非法访问网络摄像头的盈利方式多种多样。鉴于其CPU功率,摄像头可能会被黑客攻击,用于挖掘加密货币,或安装DDoS工具。摄像头还可被用作路由器(代理或VPN服务器),以匿名处理非法流量。一些黑客甚至把它们用作网络摄像头。
安全研究员Paul Marrapese研究了消费者网络摄像头领域,发现其中的安全漏洞并不少见。遗憾的是,供应商本可以做得更好。Paul发现了某些网络摄像头型号的固件和协议中的关键漏洞,但涉事供应商甚至没有回过头来讨论修复问题。
值得一提的是,此类摄像机的制造商通常采用各种点对点(P2P)协议的实现方式,与其他多台设备共享协议。这些协议要么对流量加密不力,要么根本不进行加密,从而使设备暴露于中间人(MitM)攻击之下。攻击者可以轻松地窃听设备流量,窃取用户凭证或重定向视频流。
根据趋势科技的一项研究表明,偷窥摄像头所有者私生活的情况绝非罕见。然而,值得注意的是,除了摄像头,其他各种物联网设备也可能用于窥探。例如,尽管它们的主要功能与视频监控无关,但市场上大多数智能宠物喂食器都能捕捉实时音频和视频片段。虽然它们的受欢迎程度正在不断攀升,新型号也在不断推出,以满足日益增长的需求,但供应商往往忽视了对这些设备的适当保护。
近日,卡巴斯基研究人员对一种流行的智能喂食器型号进行了测试,并发现其中存在大量安全漏洞。利用这些漏洞,除了为黑客创造其他机会外,该设备还可用于监视宠物主人。
儿童智能设备是另一类需要强化安全性的物联网设备。遗憾的是,一些供应商并没有认真对待这一点。当一家智能手表制造商委托卡巴斯基使用工业物联网联盟开发的“物联网安全成熟度模型”方法进行产品安全成熟度评估时,彻底暴露了设备缺乏安全性的情况。这些安全问题已经严重到足以将产品转化为监视儿童及其周围环境的监控工具。
安全性不足的问题困扰着消费和工业物联网设备。后者也可能存在基本的安全漏洞,并且供应商推荐的设置可能不安全。
工业物联网设备中最常见的配置问题是使用默认密码。例如,一家用于将电梯设备连接到控制室监控系统的媒体转换器制造商,在服务文档中提供了这些设备以及极不安全的连接和配置提示。更糟糕的是,研究人员还发现物联网设备本身也存在漏洞,即使是技术不娴熟的黑客也可以利用这些漏洞完全控制转换器。
这并不意味着所有物联网设备都不安全,只是某些供应商忽视了安全开发文化。我们衷心希望所有面向消费者和工业用户的物联网设备供应商都能尽可能优先考虑其产品的网络安全。
六、结论及建议
物联网设备吸引黑客的原因有很多:它们可被用于进行DDoS攻击、伪装流量,或者通过内置网络摄像头窥探所有者。同样地,NAS盒子和路由器也可能成为勒索软件团伙的攻击目标,他们的目标是连接到NAS盒子和路由器的设备,包括公共Wi-Fi网络上的智能手机或受害者局域网上的其他设备。
除了无情地攻击物联网外,黑客还在暗网市场上提供服务。也就是说,由于使用默认密码和设备漏洞的存在,大多数联网设备(包括工业环境中的设备)仍然很容易成为遭受攻击,其中一些漏洞供应商从未着手进行修复。家庭和工业用物联网设备的供应商都应对产品网络安全采取负责任的态度,并在产品设计阶段引入保护措施。
为保护工业和消费者物联网设备的安全,卡巴斯基专家建议:
- 对OT系统进行定期的安全评估,以发现和消除可能存在的漏洞;
- 使用ICS网络流量监控、分析和检测解决方案,更好地抵御可能威胁技术流程和主要企业资产的攻击;
- 确保对工业端点以及企业端点进行保护;
- 在部署物联网设备之前评估设备的安全状态。应优先考虑具有网络安全证书的设备以及更注重信息安全的制造商的产品;
- 对于智能家居设备,不要忘记更改默认密码。请使用严格、复杂的密码并定期更新;
- 不要在社交网络上分享有关智能设备的序列号、IP地址和其他敏感信息;
- 注意并随时查看已发现的物联网设备漏洞的最新信息。
原文链接:https://securelist.com/iot-threat-report-2023/110644/
