用户
搜索

[思路/技术] 2018 年 IoT 那些事儿

  • TA的每日心情
    开心
    2018-12-25 11:26
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    18

    主题

    26

    帖子

    274

    魔法币
    收听
    0
    粉丝
    3
    注册时间
    2018-6-12

    i春秋认证

    发表于 2018-12-29 17:11:34 16188
    本文作者:murphyzhang、xmy、fen @腾讯安全云鼎实验室

    2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网。随着5G网络的发展,我们身边的 IoT 设备会越来越多。与此同时,IoT 的安全问题也慢慢显露出来。

    腾讯安全云鼎实验室对 IoT 安全进行了长期关注,本文通过云鼎实验室听风威胁感知平台收集的 IoT 安全情报进行分析,从IoT 的发展现状、IoT 攻击的常见设备、IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍。


    一、IoT 的发展现状

    1.png
    图片来自网络


    近几年 IoT 设备数量飞速增长, 2018年一共有70亿台 IoT 设备,每年保持20%左右的速度增长,到2020年预计 IoT 设备可达99亿台。

    全球 IoT 设备增长趋势
    2.png

    数据来源:State of the IoT 2018:Number of IoT devices now at 7B – Market accelerating

    随着 IoT 设备的普及,IoT 安全问题越来越多。根据卡巴斯基 IoT 安全报告 New trends in the world ofIoT threats,近年来捕获到的 IoT 恶意样本数量呈现爆炸式的增长,从侧面反映了 IoT 安全问题越来越严峻。

    IoT 恶意样本数量
    3.png


    数据来源:卡巴斯基New trends in the world of IoT threats

    二、IoT 攻击常见设备与“黑客武器库”

    现实生活中哪些 IoT 设备最容易被攻击呢?这是我们在做研究时第一时间考虑的问题。

    被攻击后的设备,通常会进入黑客的武器库。黑客通常通过设备弱口令或者远程命令执行漏洞对 IoT 设备进行攻击,攻击者通过蠕虫感染或者自主的批量攻击来控制批量目标设备,构建僵尸网络,IoT 设备成为了黑客最新热爱的武器。


    IoT 最常被攻击的设备类型
    4.png

    数据来源:腾讯安全云鼎实验室


    云鼎实验室听风威胁感知平台统计数据显示,路由器、摄像头和智能电视是被攻击频率最高的三款 IoT设备,占比分别为45.47%、20.71%和7.61%,实际中,摄像头的比例会更高,本次统计数据未包含全部摄像头弱口令攻击数据。

    智能电视存在的安全隐患是 ADB 远程通过5555端口的调试问题,电视存在被 root、被植入木马的风险,本次不做过多介绍。下文中会重点讨论路由器和摄像头的安全问题。

    (1)最受黑客欢迎的设备:路由器

    据统计,路由器(多数为家庭路由器)在 IoT 设备中的攻击量占比将近一半。大量恶意攻击者利用主流的品牌路由器漏洞传播恶意软件,构建僵尸网络。
    以下为最常被攻击的路由器品牌占比统计:

    图 最常被攻击路由器统计
    5.png

    数据来源:腾讯安全云鼎实验室


    从统计数据中可以看到,被攻击的路由器多为家庭路由器,通常市场保有量特别巨大,一旦爆出漏洞,影响范围较广。

    例如:某公司 HG532 系列路由器在2017年11月爆出了一个远程命令执行漏洞,而该系列路由器数量巨大,针对该系列路由器的攻击和蠕虫利用非常多,攻击占比高达40.99%。其次是*_Link 系列路由器,*_Link 系列路由器爆出过多个远程命令执行漏洞,因此也广受恶意攻击者欢迎。

    以下为恶意攻击者利用较多的漏洞列表:

    常用端口
    漏洞
    37215
    某公司 HG532 系列路由器远程命令执行漏洞(CVE-2017-17215)
    49152
    多个 *_Link 产品 UPnP SOAP  接口多个命令注入漏洞
    80/8080
    *_Link DIR-600 和DIR-300 中的多个漏洞
    52869
    *ealtek SDK 的 miniigd  SOAP 服务中的远程代码执行漏洞(CVE-2014-8361)
    80/8080
    *inksys多款路由器tmUnblock.cgi  ttcp_ip参数远程命令执行漏洞(CNVD-2014-01260)
    80/8080
    某公司GPON光纤路由器命令执行漏洞(CVE-2018-10561/62)
    8080
    *etGear DGN设备远程任意命令执行漏洞
    53413
    *etcore(*etis)路由器53413/UDP后门服务漏洞
    7547
    *IR D1000无线路由器 WAN 端远程命令注入


    (2)经久不衰的攻击:视频摄像头

    2016年10月份,黑客通过操纵Mirai 感染大量摄像头和其他设备,形成了庞大的僵尸网络,对域名提供商 DYN 进行 DDoS 攻击,导致了大面积网络中断,其中 Amazon、 Spotify、Twitter 等知名网络均受到影响。Mirai 僵尸网络也成为了 IoT 安全的标志性事件。
    针对摄像头的攻击主要是两种方式,一是弱口令,二是漏洞利用。

    A、摄像头弱口令

    密码破解是摄像头最常用的攻击方式,一般利用厂家的默认密码。

    以下为部分厂家摄像头的最常使用的十大默认用户名/密码:

      
    十大默认用户名/密码
      
    admin/admin
    Admin/1234
    admin/1234
    admin/123456
    admin/<无密码>
    admin/password
    admin/12345
    root/pass
    root/<无密码>
    root/camera

    B、摄像头漏洞

    EXPLOIT DATABASE 收录了120多个摄像头漏洞,如下为搜索到的部分品牌摄像头漏洞:

    6.png



    三、IoT 攻击源统计

    (1)欧美— IoT 恶意代码控制服务器的家乡

    云鼎实验室针对恶意代码控制服务器进行了统计,筛选出了 IoT 恶意代码控制服务器所在国 Top 10,位于国外的IoT 恶意代码控制服务器占比达到