搜搜吧

查看: 6|回复: 0

[资讯] 2018年上半年物联网恶意活动&僵尸网络数据摘要[含16P]

[复制链接]
  • TA的每日心情

    6 小时前
  • 签到天数: 452 天

    [LV.9]以坛为家II

    研究生

    8235

    主题

    8706

    帖子

    2万

    积分

    Rank: 8Rank: 8

    UID
    15343
    威望
    -463
    贡献
    5183
    在线时间
    168 小时
    注册时间
    2015-10-12
    发表于 7 天前 | 显示全部楼层 |阅读模式
    推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

    前言

    在F5实验室最新发布的物联网安全报告中,分析了2018年1月至6月期间全球物联网(IoT)设备受攻击的数据,涵盖物联网设备使用的主流服务和20个端口的分析数据。

    以下是从2018年1月1日到6月30日基于收集的数据得出的结果概要:

    • 物联网设备已成为网络恶意活动的头号目标,受到的攻击数量远超Web和应用程序服务器、电子邮件服务器和数据库。
    • 远程登陆攻击占比下降,原因在于通过23端口监听的物联网设备已被Thingbot僵尸网络移除。
    • 今年3月,针对每个受监听端口的攻击流量剧增。基于对攻击流量的解析,其中84%来自电信运营商,因此可推测电信运行商掌握的物联网设备中有不少已被僵尸网络感染。
    • 针对物联网设备的攻击类型,SSH爆破攻击排第一,其次是远程登陆。
    • 来自伊朗和伊拉克的IP地址首次进入攻击IP地址列表前50名。
    • 攻击IP地址列表前50名都是新面孔,在上一篇报告中前50个攻击IP中74%曾经出现过。也就是说,之前受感染的设备可能被全部清理了。
    • 西班牙是受攻击最严重的国家,受攻击的数量占比高达80%。在过去一年半的时间里,西班牙一直是“稳坐第一”。显然,西班牙的物联网安全存在基础性和结构性的问题。
    • 巴西、中国、日本、波兰和美国是主要的攻击来源国。

    概述

    F5实验室在2018年上半年共监控到13个物联网僵尸网络,2016年为9个,2017年为6个,僵尸网络形成的增速惊人。F5实验室监控僵尸网络中的设备类型、感染途径、以及发现手段,以下是这13个僵尸网络的概况:

    • VPN Filter:收集用户凭据,安装网络嗅探器以监控ICS协议,最后安装tor节点。
    • Wicked:目标对象为SOHO路由器、CCTV和DVR,安装SORA和OWARI,两者都是提供“租用服务”的僵尸网络。
    • Roaming Mantis:寄生在Wi-Fi路由器以及Android和iOS手机,并在受感染的设备上进行DNS劫持和地雷加密货币。
    • Omni:危害GPON家用路由器,用于加密或DDoS攻击。
    • UPnProxy:扫描SOHO路由器并安装可绕过访问控制的代理服务器,之后发起:垃圾邮件和网络钓鱼活动;点击欺诈;账户接管和信用卡欺诈;DDoS攻击;安装其他僵尸网络;分发恶意软件。
    • OWARI:接管SOHO路由器,作为多用僵尸网络“服务”出租。
    • SORA:接管SOHO路由器,作为多用僵尸网络“服务”出租。
    • DoubleDoor:目标对象为受瞻博网络家庭防火墙保护的SOHO路由器,可在目标设备上安装代理服务器,发起多种类型的攻击。
    • OMG:接管SOHO路由器、无线IP摄像机和DVR,安装代理服务器,可发起多种类型的攻击。
    • JenX:入侵SOHO路由器和无线芯片组,发起DDoS攻击。JenX是一种DDoS-for-Hire服务,以20美元的价格提供300Gbps攻击。
    • Hide’n Seek:接管IP摄像机,能够发起的攻击类型目前未知。
    • Pure Masuta:目标对象为家用路由器,能够发起的攻击类型目前未知。
    • Masuta:接管家用路由器并发动DDoS攻击。

    受感染数量最多的物联网设备依次为SOHO路由器、IP摄像机、DVR和CCTV。

    2aa00959cb51fb1fbd9b39a1bbd66645.jpg-wh_651x-s_3300862617.jpg

    图1:过去10年僵尸网络感染的设备类型分布

    以往物联网僵尸网络最常见的攻击类型是对目标对象发起DDoS,在2018年形势发生了变化。僵尸网络的掌控者开始转向DDoS多用途攻击“服务”的出租,安装代理服务器用于发动指定类型的恶意攻击,安装节点和数据包嗅探器发起PDoS攻击,DNS劫持、凭证收集、凭证填充和欺诈木马等恶意活动。

    87f3bd557ac829ef6d1f170557c3d3f5.jpg

    图2:在过去10年中,物联网僵尸网络发起的恶意活动类型分布

    构建物联网僵尸网络的主流方法是在互联网上对全球范围内的设备进行,查找开放的远程服务,比如说物联网领域专用的HNAP、UPnP、SOAP、CVE,以及一些TCP端口。

    51dbb63f9a809bd94a30b319c3e3265b.jpg

    图3:过去10年中,感染方式分布

    研究报告指出,蜂窝物联网网关与传统的有线和无线物联网设备一样脆弱,尤其是物联网基础设施与物联网设备都很容易受到身份验证攻击。报告指出,62%的被测设备易受基于弱密码和默认凭证的远程访问攻击。这些设备被用于构建带外网络、创建网络后门、进行网络间谍活动、实施中间人攻击、DNS劫持等。

    “最受欢迎”的物联网设备端口前20名

    6703ab0af2cbf03bc36fe2c0a0dec0a5.jpg

    大多数物联网设备已从Telnet转为使用SSH进行远程管理,而SOHO路由器、电视机、游戏机和ICS等物联网设备已经使用80端口很久了。智能电视和游戏机会定期启动网络服务器,使用UPnP管理自动打开SOHO路由器或防火墙的端口。Radiation、Reaper和Wicked均瞄准了HTTP协议的80、81和8080端口。

    afa5f09426861e6ac35c5c455ff3975f.jpg

    图4:受攻击数量最多的20个IoT设备端口的时间分布

    十大攻击目标国家和地区

    西班牙自2017年第一季度以来一直稳坐物联网恶意活动“最受欢迎的”目标国家,2018年1月1日至6月30日期间遭到的攻击流量占比高达80%,该数据直接反映出西班牙物联网资产的脆弱程度。

    1b1737b2166f288dfdeed4e8aee6585c.jpg

    图5:十大攻击目标国家和地区

    在过去一年半的时间里,匈牙利在受攻击最多的国家中也占据了一席之地。排在前三位的其他国家是美国、俄罗斯和新加坡。

    8ee8854fefa59d13a5fe000e73cd81f7.jpg

    表2:过去两年中前10个攻击目的地国家

    十大攻击源国家和地区

    2018年1月1日至6月30日期间,来自巴西的流量最多,该总攻击流量的18%,这可能与前段事件巴西国内大量路由器遭到劫持有关。排在巴西之后的是我国。

    1be4b266fef10e7cd782ded21fb12f9a.jpg

    图6:十大攻击源国家

    来自日本的攻击流量从2017年第三季度和第四季度的占总攻击流量的1%大幅上升到2018年第一季度和第二季度总攻击流量的9%。波兰和伊朗的2018年第一季度和第二季度数据也值得关注,在过去的两年半中,这两个国家仅排在前十名上下,这两个国家在2017年第一季度和第二季度中发起的攻击占比不到1%。

    f5121af0a02939c0dd4b9829a6268772.jpg

    表3:过去两年中排名前10位的攻击来源国家和地区

    排名前50的攻击IP地址

    以下排名前50的攻击IP地址按攻击流量由高到底排列。该列表中的所有 IP地址都是新出现的。这种情况有几种可能:以前受感染设备被全网清理;新的顶级玩家兴起;被监控设备的所有者将恶意活动转移到了新系统。

    这一时期最明显的变化是来自伊朗和伊拉克的IP地址数量激增。

    5f77e82055cd421d982cdef075a3b336.jpg

    bc1ed5231f021c547521108505fa35d0.jpg

    d84959155641ffabeb386d4ec396adf1.jpg

    6c1ee0909af218365fc171bcbf2f73c3.jpg

    ff8f40f219ea482357177de0a67fab38.jpg

    排名前50强的攻击IP所处行业

    攻击中的大多数来自电信和ISP公司,这些公司为物联网设备所在的海量家庭、办公室和园区提供互联网服务。一旦物联网设备被感染,它就会被用来扫描其他物联网设备来传播恶意软件, 大多数分布式扫描模型并且还用于攻击。因此,电信/互联网服务提供商产生了大部分物联网攻击流量这个结果在意料之中。如果托管服务提供商的攻击流量明显增加,表明攻击者正在构建新的僵尸网络。

    c51c08d0f0e4f9fa02a89788cdbd3172.jpg

    产业安全展望

    当Mirai僵尸网络以雷霆之势横扫全球时,相应的防御措施和行动可谓寒心。想要击垮Mirai,存在以下几个难点:许多受感染的物联网设备(1)无法进行固件更新,(2)用户技术有限,(3)厂商没有动力更新固件、设备或切断与受感染设备的连接,因为这同时会中断服务。

    自Mirai源代码公开以来,它已经以Annie、Satori/Okiru、Persirai、Masuta、Pure Masuta、OMG、SORA、OWARI、Omni和Wicked的面貌重生过10次。Mirai本体威胁仍然迫在眉睫,它的兄弟姐们的手段更是五花八门,不仅仅能够发动DDoS攻击,部署代理服务器、挖矿脚本、安装其他僵尸网络程序供”出租“等更是不在话下。这也导致了自2017年12月30日F5实验室报告Mirai增长以来,世界各地的Mirai恶意软件感染地区(黄点)明显增长。

    912afdc8eb1f1e7d59acecf26677d94e.jpg

    地图上的每个点代表Mirai感染设备的纬度和经度坐标。红点代表“扫描器”节点,用于搜索其他易受感染的物联网设备。黄点表示可以获被植入最新的恶意软件的托管系统。

    总结

    物联网设备现在要以十亿计算,现有的安全标准(或压根没有安全标准)应用全球的威胁态势早已无用,形势难以逆转。

    未来可以预见:

    • 恶意挖矿软件在物联网系统中的传播途径更加多样化,如SOHO路由器、游戏机等。
    • 勒索软件向要害设施和机构进发,尤其是工业控制系统、机场、医院、ATM等。
    • 更多包含网络后门的物联网系统出现,如蜂窝网关、暖通空调系统、恒温器、IP摄像机、自动售货机、咖啡机等。这些设备受感染后可监视和窃取受数据和知识产权(IP)保住的资产。
    • 针对工业控制系统的间谍软件兴起。
    • 针对国家关键工业控制系统的网络战,包括物理渗透和间谍活动。

    这些趋势将为部署物联网设备的组织造成重大损失。可以说物联网安全已经到了危急关头,每家公司、每个组织都需要为物联网攻击做好准备,每个用户也要站出来保护自己的家园。物联网产业体系的产品先行之风要煞一煞,用安全赋能物联网。


    楼主热帖排行榜
    搜搜吧社区温馨提示:
    搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
    1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
    2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
    3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
    4、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-sosoba@qq.com 一个工作日内核实并邮件通知立即删除
    soso搜搜吧社区是聚合百度搜索,搜狗搜索,360搜索,新闻,教育,站长,广告,娱乐,影视,微信,网盘,营销,手机,汽车,游戏,论坛综合为一体的大型门户社区www.sosoba.org
    Powered by www.sosoba.org X3.4© 2013-2019 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
    搜搜吧社区官网创建于2013年07月23日,本站内容均为会员发表,并不代搜搜吧社区立场,请遵守当地相关法律,客服邮箱: kefu-sosoba@qq.com
    本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
    推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗,百度浏览器,Safari浏览器,ios,Android

    GMT+8, 2018-11-15 20:17 , Processed in 1.125000 second(s), 30 queries , Gzip On.

    快速回复 返回顶部 返回列表