2018 年, 是 IoT 高速发展的一年, 从空调到电灯, 从打印机到智能电视, 从路由器到监控摄像头统统都开始上网. 随着 5G 网络的发展, 我们身边的 IoT 设备会越来越多. 与此同时, IoT 的安全问题也慢慢显露出来.
腾讯安全云鼎实验室对 IoT 安全进行了长期关注, 本文通过云鼎实验室 听风威胁感知平台[注 1] 收集的 IoT 安全情报进行分析, 从 IoT 的发展现状, IoT 攻击的常见设备, IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍.
一, I oT 的发展现状
图片来自网络
近几年 IoT 设备数量飞速增长, 2018 年一共有 70 亿台 IoT 设备, 每年保持 20% 左右的速度增长, 到 2020 年预计 IoT 设备可达 99 亿台.
图▽ 全球 IoT 设备增长趋势
随着 IoT 设备的普及, IoT 安全问题越来越多. 根据卡巴斯基 IoT 安全报告 New trends in the world of IoT threats , 近年来捕获到的 IoT 恶意样本数量呈现爆炸式的增长, 从侧面反映了 IoT 安全问题越来越严峻.
图▽ IoT 恶意样本数量
二, IoT 攻击常见设备与 "黑客武器库"
现实生活中哪些 IoT 设备最容易被攻击呢? 这是我们在做研究时第一时间考虑的问题.
被攻击后的设备, 通常会进入黑客的武器库. 黑客通常通过设备弱口令或者远程命令执行漏洞对 IoT 设备进行攻击, 攻击者通过蠕虫感染或者自主的批量攻击来控制批量目标设备, 构建僵尸网络, IoT 设备成为了黑客最新热爱的武器.
图▽ IoT 最常被攻击的设备类型
云鼎实验室听风威胁感知平台统计数据显示, 路由器, 摄像头和智能电视是被攻击频率最高的三款 IoT 设备, 占比分别为 45.47%,20.71% 和 7.61%, 实际中, 摄像头的比例会更高, 本次统计数据未包含全部摄像头弱口令攻击数据.
智能电视存在的安全隐患是 ADB 远程通过 5555 端口的调试问题, 电视存在被 root, 被植入木马的风险, 本次不做过多介绍. 下文中会重点讨论路由器和摄像头的安全问题.
(1)最受黑客欢迎的设备: 路由器
据统计, 路由器 (多数为家庭路由器) 在 IoT 设备中的攻击量占比将近一半. 大量恶意攻击者利用主流的品牌路由器漏洞传播恶意软件, 构建僵尸网络.
以下为最常被攻击的路由器品牌占比统计:
图▽ 最常被攻击路由器统计
从统计数据中可以看到, 被攻击的路由器多为家庭路由器, 通常市场保有量特别巨大, 一旦爆出漏洞, 影响范围较广.
例如: 某公司 HG532 系列路由器在 2017 年 11 月爆出了一个远程命令执行漏洞, 而该系列路由器数量巨大, 针对该系列路由器的攻击和蠕虫利用非常多, 攻击占比高达 40.99%. 其次是 *_Link 系列路由器,*_Link 系列路由器爆出过多个远程命令执行漏洞, 因此也广受恶意攻击者欢迎.
以下为恶意攻击者利用较多的漏洞列表:
常用端口
| 漏洞
|
---|---|
37215 | 某公司 HG532 系列路由器远程命令执行漏洞(CVE-2017-17215) |
49152 | 多个 *_Link 产品 UPnP SOAP 接口多个命令注入漏洞 |
80/8080 | *_Link DIR-600 和 DIR-300 中的多个漏洞 |
52869 | *ealtek SDK 的 miniigd SOAP 服务中的远程代码执行漏洞(CVE-2014-8361) |
80/8080 | *inksys 多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞(CNVD-2014-01260) |
80/8080 | 某公司 GPON 光纤路由器命令执行漏洞(CVE-2018-10561/62) |
8080 | *etGear DGN 设备远程任意命令执行漏洞 |
53413 | *etcore(*etis) 路由器 53413/UDP 后门服务漏洞 |
7547 | *IR D1000 无线路由器 WAN 端远程命令注入 |
(2)经久不衰的攻击: 视频摄像头
2016 年 10 月份, 黑客通过操纵 Mirai 感染大量摄像头和其他设备, 形成了庞大的僵尸网络 , 对域名提供商 DYN 进行 DDoS 攻击, 导致了大面积网络中断, 其中 Amazon,Spotify,Twitter 等知名网络均受到影响. Mirai 僵尸网络也成为了 IoT 安全的标志性事件.
针对摄像头的攻击主要是两种方式, 一是弱口令, 二是漏洞利用.
A. 摄像头弱口令
密码破解是摄像头最常用的攻击方式, 一般利用厂家的默认密码.
以下为部分厂家摄像头的最常使用的十大默认用户名 / 密码:
十大默认用户名 / 密码
| |
---|---|
admin/admin | Admin/1234 |
admin/1234 | admin/123456 |
admin/< 无密码 & gt; | admin/password |
admin/12345 | root/pass |
root/< 无密码 & gt; | root/camera |
B. 摄像头漏洞
EXPLOIT DATABASE 收录了 120 多个摄像头漏洞, 如下为搜索到的部分品牌摄像头漏洞:
三, IoT 攻击源统计
(1)欧美 - IoT 恶意代码控制服务器的家乡
云鼎实验室针对恶意代码控制服务器进行了统计, 筛选出了 IoT 恶意代码控制服务器所在国 Top 10, 位于国外的 IoT 恶意代码控制服务器占比达到 94.72%, 中国仅占 5.28%,IoT 恶意代码控制服务器大量分布在 美国和欧洲 .
图▽ IoT 恶意代码控制服务器国家分布 Top10
来源: http://www.tuicool.com/articles/MbIbQf2