《绿盟科技:2018物联网安全年报(121页).pdf》由会员分享,可在线阅读,更多相关《绿盟科技:2018物联网安全年报(121页).pdf(121页珍藏版)》请在三个皮匠报告上搜索。
1、 关于绿盟科技 北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于 2000 年 4 月,总部位于北京。在国内外设有 30 多个分支机构, 为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的 安全顺畅运行。 基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测 / 防护、 抗拒绝服务攻击、远程安全评估以及 Web 安全防护等产品以及专业安全服务。 北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交易所创业板上市交易。 股票简称:绿盟
2、科技股票代码:300369 关于上海交通大学信息内容分析技术国家工程实验室 上海交通大学信息内容分析技术国家工程实验室于 2009 年 3 月由国家发改委批准建设。实验室主体建设于张江高科技园区,并于 2014 年 6 月通过国家验收。实验室主要围绕国家信息化建设对网络信息安全管理的需求,重点开展网络发布内容智能获取、多媒体内 容主题提取与分类、基于内容的网络访问控制等关键技术方面的研究。同时,实验室积极开拓产业新增长点,加快技术成果转化,支撑 国家有关职能部门和信息安全基础设施建设。 近年来实验室聚焦物联网安全的密码理论、密钥管理、无线传感器网络安全、入侵检测、安全数据融合、安全定位、射频识
3、别的隐 私与安全、 物联网嵌入式系统的安全设计, 取得了一系列成果。 相关成果已经在电信运营商、 公安、 网安、 文化宣传等系统获得成功应用。 关于广州大学网络空间先进技术研究院 为加快推进高水平大学建设步伐,布局新的学科与科研大平台,学校围绕“5+2”平台引进并打造了一批高水平创新型科研团队, 2017 年 7 月份,学校成功引进了方滨兴院士,并以方院士团队为主体,成立了网络空间先进技术研究院。研究院下设 4 个研究所:网 络安全研究所、物联网及安全研究所、大数据及安全研究所、先进计算技术研究所。 物联网及安全研究所协同网络安全研究所、网络空间安全大数据分研究所,以物联网环境的个人用户隐私保
4、护、平台安全的局限性、 普遍存在的移动性使得追踪和资产管理面临挑战、设备的数量巨大使得常规的更新和维护操作面临挑战、基于云的操作使得边界安全不 太有效等核心科学问题。在物联网中存在的隐私保护、认证、访问控制管理、数据保护、物理安全、设备保护和资产管理等物联网及安 全方向开展深入学术研究及技术应用。 特别声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具 体信息,均不会出现在本报告中。 2018 物联网安全年报 A 目录 执行摘要 2 1. 2018 年重大物联网安全事件回顾 5 1.1 暗网出现利用物联网设备的 DDoSaaS
5、 6 1.1.1 事件回顾 6 1.1.2 原理简述 7 1.1.3 小结 8 1.2 Hiden Seek 僵尸网络感染了 9 万台物联网设备 9 1.2.1 事件回顾 9 1.2.2 原理简述 9 1.2.3 小结 10 1.3 IoTroop 针对金融机构的多起 DDoS 攻击活动 10 1.3.1 事件回顾 10 1.3.2 小结 10 1.4 VPNFilter 感染约 50 万台物联网设备,或与国家行为有关 11 1.4.1 事件回顾 11 1.4.2 原理简介 11 1.4.3 小结 12 1.5 台积电生产线被勒索,停产损失超 10 亿 12 1.5.1 事件回顾 12 1.5
6、.2 小结 13 1.6 UPnProxy 脆弱性使 4.5 万个内网敞开,威胁众多企业和家庭 13 1.6.1 事件回顾 13 1.6.2 原理简介 13 1.6.3 小结 14 1.7 20 万台路由器被黑导致内网设备恶意挖矿 14 1.7.1 事件回顾 14 1.7.2 原理简介 15 1.7.3 小结 15 1.8 总结 16 2018 物联网安全年报 B 2. 物联网资产暴露与变化情况分析 17 2.1 暴露物联网资产概况 18 2.2 暴露物联网资产的变化情况分析 20 2.2.1 摄像头 21 2.2.2 路由器 23 2.2.3 VoIP 电话 23 2.3 物联网资产地址变化
7、的原因分析 24 2.3.1 变化资产使用拨号方式入网 25 2.3.2 变化资产的 ASN 分布情况 32 2.4 国内物联网资产真实暴露情况 34 2.5 小结 35 3. 物联网资产风险和威胁统计 36 3.1 引言 37 3.2 异常物联网设备分析 37 3.2.1 设备类型分析 38 3.2.2 攻击类型分析 39 3.2.3 开放端口分析 42 3.2.4 恶意挖矿行为分析 44 3.3 异常物联网设备的区域分布分析 46 3.3.1 全球物联网设备的国家分布 46 3.3.2 全球异常物联网设备国家分布 47 3.3.3 国内物联网设备省份分布51 3.3.4 国内异常物联网设备
8、省份分布 52 3.4 物联网恶意家族分析 57 3.4.1 物联网恶意家族的样本维度分析 58 3.4.2 物联网恶意家族的攻击维度分析 60 3.4.3 典型恶意家族的详细分析63 3.5 小结 67 2018 物联网安全年报 C 4. 面向物联网设备的 UPnP 协议栈威胁分析 68 4.1 引言 69 4.1.1 UPnP 技术简介 69 4.1.2 UPnP 的工作流程 71 4.2 UPnP 协议栈的脆弱性与风险分析 73 4.2.1 UPnP 协议的脆弱性与风险分析 73 4.2.2 UPnP 实现中的常见脆弱性与风险统计 78 4.2.3 UPnP 服务的脆弱性与风险分析 80
9、 4.3 UPnP 暴露情况和风险统计 82 4.4 UPnP 协议栈的威胁分析 88 4.4.1 利用 UPnP 的反射攻击分析 88 4.4.2 UPnP 端口映射服务威胁分析 90 4.4.3 其他针对 UPnP 服务的恶意行为分析 104 4.4.4 UPnP 服务扫描源分析 107 4.5 小结 109 附录 1:文中部分名词释义 110 附录 2:物联网设备常用端口与协议对照表 112 附录 3:常见 UPnP SDK 关联漏洞 113 参考文献 114 2018 物联网安全年报 2 执行摘要 执行摘要 随着物联网的不断发展,物联网安全也被越来越多的人所关注。我们于 2016 年发
10、布物联网安全 白皮书,进行物联网安全的科普介绍;并于 2017 年发布2017 物联网安全年报,关注物联网资 产在互联网上的暴露情况、设备脆弱性以及威胁风险分析。今年,我们持续深入研究物联网资产和威胁: 在资产方面,我们关注如何更精准地刻画暴露在互联网上的物联网资产分布情况;在威胁分析方面,我 们将重点类别的物联网资产关联从互联网上发现的异常事件,跟踪相关的物联网威胁,包括各类恶意攻 击和恶意家族。 首先,我们回顾了 2018 年 7 个影响较大的物联网安全事件。在 2018 年,攻击者利用漏洞编写恶 意软件感染大量物联网设备、在暗网买卖攻击服务、肆意发动破坏和勒索攻击。这些行为显然针对物联
11、网设备或由物联网设备发动的攻击,对国家关键信息基础设施、大型企业和个人的安全构成了严重的威 胁,物联网总体安全形势依然严峻,处置和缓解物联网威胁任重道远。 我们在去年的报告中提到,互联网上暴露的各类物联网设备累计高达 6000 万台,这是对端口进行 一年的扫描数据的统计结果。由于一年内多个扫描轮次中,物联网设备的网络地址可能会发生变化,通 过这种统计口径得出的数据不能反映物联网资产某段时间的真实暴露情况。为了解物联网资产准确的变 化情况,我们对比了多个扫描轮次的数据,有如下发现: 通过对国内路由器、摄像头和 VoIP 电话的资产变化数量对比分析,发现有至少 40% 的物联网资产 的网络地址处于
12、频繁变化的状态中,而同时资产的网络地址所映射的网段只有 10% 发生变化。我们进 而对部分变化网段进行抽样分析,发现超过 90% 的抽样网段资产的网络地址采用拨号方式入网。那么 无论是描绘暴露物联网资产,还是追溯发动恶意攻击的设备,都不能忽视考虑物联网资产网络地址的变 化因素。 除了对于物联网资产暴露情况的深入研究外,我们对将近半年的全网扫描的物联网资产数据和绿盟 威胁情报中心(NTI)的威胁情报数据、可管理服务的安全设备的日志告警信息,以及合作第三方的数 据进行关联,以统计并分析暴露在互联网上的物联网资产的风险和遭受威胁趋势。 分析近半年的物联网资产的行为可知,在所有设备和出现过异常行为的设
13、备中,路由器和摄像头比 例均为最高,异常设备的行为主要以 DDoS 攻击、僵尸网络通信和扫描探测为主,存在这些行为的异常 物联网设备占所有异常物联网设备的 79.36%;在所有异常物联网设备中,开放 554 端口的摄像头数量 2018 物联网安全年报 3 执行摘要 最多,此类物联网设备的安全检查需要得到重点关注。物联网攻击体现出很强的家族属性,从蜜罐捕获 和僵尸网络跟踪的角度看,Mirai 和 Gafgyt 两大家族的物联网恶意样本数量最多,而从检测到的攻击行 为角度看,物联网僵尸主机家族的前两名是 Gafgyt 和 XorDDos。从全球视角观察,不同国家的恶意物 联网设备发动的攻击手法具有
14、差异性,以路由器为例,美国的异常路由器的主要以漏洞利用的手段被利 用,但巴西的主要以恶意挖矿为主等;聚焦国内,我们发现无论是物联网设备的总数,还是异常物联网 设备的数量,都与区域的经济发展水平有较强的关联,特别是第三产业。从厂商角度观察,2018 年 4 月份,MikroTik 路由器的漏洞披露后被利用进行恶意挖矿,我们在 10 月发现仍有大量 MikroTik 路由器 在挖矿,导致 MikroTik 是我们在 2018 年观察到设备被恶意利用最多的厂商。物联网安全一从设计之初 要考虑安全问题,二在体系建设时要在端管云都要做好防护,三在安全治理时要考虑大量存量的弱安全 设备,足见其任重道远,绝
15、非一朝一夕可成。 在研究物联网暴露资产和跟踪威胁时,我们发现大量 UPnP 服务暴露在互联网上,沦为攻击者的利 用对象,成为 DDoS 攻击的重要来源。我们有如下发现: 全球有约 280 万台物联网设备开放了 UPnP SSDP 服务(1900 端口),存在被利用进行 DDoS 攻 击的风险,其中有 38.6% 的设备同时还开放了 UPnP SOAP 服务,在这些开放 SOAP 服务的设备中, 69.8% 的设备存在漏洞。由于 SOAP 服务缺乏鉴权机制,约 41 万台端口映射服务可访问的物联网设 备存在被入侵的可能。在这些设备中,有 8.9% 的设备被发现存在恶意的端口映射条目,例如会将内
16、网的 445 端口和 139 端口暴露在互联网上,而开启这两个端口服务可能存在遭受永恒之蓝、永恒之红 的攻击的风险,平均每个受感染的设备存在 282 条感染记录。我们发现两类添加恶意端口映射的家族 IntraScan 和 NodeDoS:IntraScan 试图将所有的内网端口都暴露在互联网上,全球有约 9 千台设备受 到感染;NodeDoS 存在两种恶意行为,一是映射到 8.8.8.8 的 53 端口,推测其将设备作为 DNS 反射攻 击的肉鸡集群,二是映射到某色情广告平台,进行分布式广告点击从中获利,全球目前有约 600 台设 备受到感染。 我们通过全球部署的蜜罐研究 UPnP 攻击态势,
17、通过对近两个月的数据进行分析,我们观察到 1056次SSDP反射攻击事件, 此外还捕获到如UPnP的探测扫描、 针对CVE的远程代码注入等恶意行为。 纵观 2018 年,物联网安全事件频发,原因有三:第一,物联网设备本身风险高、易被利用,同时 大量暴露在互联网上;第二,DDoS 服务、勒索和恶意挖矿易变现且其低风险受到攻击者亲睐,攻击者 可利用开源的武器库快速组装恶意软件,进而扫描、渗透并控制物联网设备;第三,物联网的供应链长、 2018 物联网安全年报 4 执行摘要 碎片化严重,物联网厂商不具备所需的安全能力,安全厂商无法参与整个物联网产品的设计、实现、生 产和升级环节。此外物联网安全相关的
18、标准、法律法规尚未完善,监管机构缺乏有效的落地方针。因而, 我们建议安全厂商、物联网厂商、物联网服务商、网络运营商及国家相关部门需要通力协作,从横贯云 管端安全的顶层设计,到具体产品的安全设计实现测评,从威胁预警和安全治理结合的监管体系,到产 业合作创建多赢的商业模式,携手共建物联网安全生态环境。 最后,我们有如下预测: 在未来几年中,随着国家大力推动 IPv6 战略,暴露在互联上的物联网资产数量可能会剧增,随之 而来的安全问题也会增多。并且物联网安全事件不会减少,甚至会因被黑产利用而增多。 由于互联网上暴露的物联网设备数量庞大,且相关漏洞层出不穷,物联网恶意家族 1如 Gafgyt、 Mir
19、ai 和 XorDDoS 等较为活跃,且僵尸网络呈现出服务化、集中化,基本形成托管服务(DDoSaaS、 Ransomware-aaS、Cryptojacking-aaS),攻击者只需在暗网购买服务即可完成攻击,无需花费构建的 时间等,致使威胁进一步增大。相信由此类服务发动的攻击会频繁见诸报端。 由于很多网关类设备都开启了 UPnP 服务,而这些设备大多是遗留设备,短期内很难通过固件升级 或替换来解决相关安全问题,随着攻击者对于 UPnP 的认知逐渐加深,UPnP 带来的威胁将更加严重, 特别是针对家庭和企业的内部网络的攻击。 1物联网恶意家族是指以物联网设备为肉鸡目标的僵尸网络家族。 201
20、8 物联网安全年报 5 2018 年重大物联网安全事件回顾 1. 2018 年重大物联网安全事件回顾 1 2018年重大物联网安全事件回顾 2018 物联网安全年报 6 2018 年重大物联网安全事件回顾 随着物联网设备数量的日趋增长,物联网设备的漏洞也逐渐被暴露出来。一些活动在暗网中的不 法分子,会寻找、利用或控制存在这些漏洞的物联网设备,进而发动恶意攻击。比如乌克兰电网中的 SCADA 系统被入侵后,攻击者对乌克兰电网发动了断网攻击,这种破坏行为无疑是影响人民生活、社 会稳定甚至是国家安全的不安定因素。目前我们监测到的扫描、控制、攻击的行为,多为不法分子通过 利用设备漏洞,进而在设备上运行
21、恶意软件实现的。一些恶意软件,如 Mirai、BrickerBot 等,已被公 开报道,为世人所知。 本章列举了 2018 年影响较大的物联网安全事件。通过回顾相关的安全事件,读者可了解到当前的 物联网安全形势 1。 观点1: 回顾2018年的重大物联网安全事件, 攻击者恶意行为涉及感染物联网设备、 买卖攻击服务、 肆意发动破坏攻击,这些行为表明针对物联网或由物联网发动的攻击对各国的关键信息基础设施安全构 成了严重的威胁,物联网安全形势依然严峻。 1.1 暗网出现利用物联网设备的 DDoSaaS 1.1.1 事件回顾 2018 年 2 月,Radware 的信息安全专家 Pascal Geen
22、ens 分析了一个 DDoS 攻击组织,该组织利 用一个名为 JenX 的恶意带软件感染的物联网设备发动 DDoS 攻击,目前他们已在暗网中出租 DDoS 服 务(DDoSaaS,DDoS as a Service)1 ,服务价格如图 1.1 所示。尽管 JenX 感染的物联网设备数量 未知,但是从这个组织可以发起 290-300Gbps 的 DDoS 攻击来看,其控制的设备数量至少有 2.9 万台 (以每个设备对外最大上传带宽 10Mps 计算)。具体而言,JenX 可分别利用 CVE-201717215 和 CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek S
23、DK 的设备,一般情况下,这类设备的带宽 约 100Mbps,上传带宽约 10Mbps。和完全分布式僵尸网络 Mirai 不同的是,该僵尸网络由服务器完 成漏洞利用和僵尸主机管理的任务。在 7 月,黑客利用 CVE-201717215 仅仅在一天内就构建了一个 18000 台僵尸网络主机构成的僵尸网络 2 。可见 JenX 的影响面之大。 1关于物联网中的感染主机数量或者控制的主机数量,这个数字大多数是估计的。研究员主要是参考期活跃程度、分布程度、利用的 漏洞等不同角度信息,再结合各个安全厂商的蜜罐中捕获的数据来计算的。该数量只能作为一个参考,并不能作为实际感染的主机 数量来认定。如果数字是确
24、定的,可能的情况是不法分子入侵了设备,并修改了设备指纹,在扫描的过程中可以将感染的设备标记 出来,使安全公司可以通过扫描的方式可以统计到设备数量。如果是后者,则数字是可信的。 2018 物联网安全年报 7 2018 年重大物联网安全事件回顾 图 1.1 暗网买卖 DDoS 服务价格 1.1.2 原理简述 图 1.2 所示为 CVE-201717215 的利用思路 13,即攻击者可以向目标主机的 37215 端口发送 HTTP POST 请求,并使用一系列不同的命令序列在目标主机中下载并运行恶意软件。 图 1.2 CVE-201717215 的命令注入点 CVE-2014-8361 漏洞的利用思
25、路相似,如图 1.3 所示,攻击者在“NewInternalClient”的 xml 标签 中插入下载并运行恶意软件的命令。恶意软件运行之后,受感染的设备会接收来自 C /bin/busybox chmod 777 /tmp/carl; / tmp/carl huawei)$(echo HUAWEIUPNP) 另外,我们的 UPnP 蜜罐还观察到一些与 UPnP 无关的常规恶意行为,包括对网页,图标等建站资 源的GET请求, 针对Apache Struts等web漏洞的恶意代码注入和指向反动, 邪教等网站的http代理等。 2018 物联网安全年报 107 面向物联网设备的 UPnP 协议栈威
26、胁分析 4.4.4 UPnP 服务扫描源分析 攻击者在做反射攻击之前,会对反射源提前扫描并确认其可用。我们部署的蜜罐作为反射源,可观 察到一些和扫描源相关的信息。从蜜罐日志数据中出发,我们发现了三种不同类型的扫描源: 1. 具有长期且规律性扫描行为的扫描源; 2. 与恶意行为相关的扫描源; 3. 同时对多种不同端口的服务进行扫描的扫描源。 通过分析蜜罐日志数据,我们发现了和这三种扫描源相关的 IP 地址或组织。 (1)蜜罐的角色是通过反射攻击做 DDoS 的反射源,因此在所捕获到的日志数据中,同一个受害 者相关的日志数量都特别大。除此之外,存在一些源 IP 对蜜罐的访问次数很少,持续时间很长且
27、有一 定的规律性,这一类源 IP 极有可能是扫描源。经过分析,我们发现 210.76.218.* 这个网段中的 IP 极有 可能都是扫描源。 表 4.14 展示了 201.76.218.* 网段部分 IP 访问不同蜜罐的次数和时间。经统计,这个网段中共有 203 个 IP 都有规律地访问过蜜罐,而且次数都在 10 次以下,这些 IP 都有可能是扫描源。 通过分析这种扫描特征,我们还定位到了一个扫描源组织 Shadowserver,与其相关的 ip 共 17 个, 来自于 184.105.139.*,91.195.99.*,205.209.140.* 这三个网段,这些 IP 都存在有规律的扫描行
28、为。 该组织 31 官方介绍他们确实在进行大范围的扫描, 用来搜索运行着不应该公开服务的公共可访问设备, 因为它们很容易被利用。他们的目的是识别这些暴露主机并将它们报告给所有者进行修复。 表 4.14 210.76.218.* 网段的 IP 相关信息 IP访问次数蜜罐位置日期IP访问次数蜜罐位置日期 201.76.218.62中国2018/9/21201.76.218.97美国2018/10/19 201.76.218.62中国2018/9/22201.76.218.102印度2018/10/18 201.76.218.62中国2018/9/23201.76.218.107印度2018/10/
29、19 201.76.218.62中国2018/9/24201.76.218.107荷兰2018/10/19 201.76.218.62中国2018/9/25201.76.218.112荷兰2018/10/18 201.76.218.62中国2018/9/27201.76.218.117荷兰2018/10/19 201.76.218.67英国2018/10/19201.76.218.117新加坡2018/10/19 201.76.218.97印度2018/10/19201.76.218.122新加坡2018/10/18 2018 物联网安全年报 108 面向物联网设备的 UPnP 协议栈威胁分析
30、 (2) UPnP 蜜罐能识别到的行为主要有 4 种,分别为:SSDP,以及 SOAP 的 HEAD、GET、POST 请求。SSDP 类型的请求一般与反射攻击直接相关,而 HEAD,GET 和 POST 类型的请求一般与开放端 口映射的恶意行为有关系,也可能与其他漏洞利用有关系,因此与后三种行为相关的 IP 极有可能是扫 描源。通过对将近两个月日志数据的过滤,与这三种类型行为相关的扫描源数量如图 4.29 所示: 图 4.29 不同类型行为相关的扫描源数量 10 85 54 0 10 20 30 40 50 60 70 80 90 HEADGETPOST 相关的IP数量 日志类型 (3)存在
31、一些扫描源会同时对不同端口的服务都进行扫描,所以它的扫描行为会被多个不同种类 的蜜罐捕获到。除了 UPnP 蜜罐之外,我们还布置了很多其他可以记录访问者登陆过程或输入命令行的 蜜罐,通过关联蜜罐数据,分析相同 IP 在不同蜜罐中的日志记录,可以很容易地判断扫描源。比如 IP 地址为 185.*.*.147 的扫描源 , 它在 cowrie 蜜罐中多次使用常见账号密码尝试暴力破解登陆,登陆成功 后只是简单的输入 “sh”,“busybox”,“help”等探测性的命令之后,没有任何其他操作就退出, 这说明它很有可能仅仅是做了扫描。与此同时,该 IP 在连接 Redis 蜜罐后“client li
32、st”获取所有连接 客户端,然后立刻断开连接的行为,以及在 Ommi 蜜罐中多次输入“/”,“/login.html”的命令都可 以帮助我们进一步确认它就是扫描源。 2018 物联网安全年报 109 面向物联网设备的 UPnP 协议栈威胁分析 4.5 小结 本章首先对UPnP技术进行了介绍, 然后对其的脆弱性和风险进行了分析, 之后对其进行了威胁分析, 包括 UPnP 在互联网上的暴露情况,蜜罐捕获到的 SSDP 反射攻击分析,蜜罐捕获到的扫描源分析,端 口映射服务威胁分析,以及针对 UPnP 漏洞的恶意行为分析。 UPnP 问题严峻,需要多方参与才能改善现有的安全环境。 作为安全厂商: 1.
33、 可以在扫描类产品中加入 UPnP 扫描能力,及时发现客户网络中存在的安全隐患。 2. 可以在防护类产品中加入对于 SSDP 和 SOAP 的流量检测能力,及时发现客户网络中存在的安 全威胁。 作为设备开发商: 1. 遵循 OCF 的建议,产品在实现的时候加入对各类操作权限进行限制、对端口转发租用时间进行 限制等安全机制。 2. 在产品中采用较为安全的 UPnP SDK。 3. 提供设备的自动升级服务。 4. 严格按照 UPnP 规范,如果没有需要,不将 UPnP 相关端口暴露在互联网上。 作为监管部门: 1. 对于网络中的 UPnP 威胁进行监控,发现问题进行通报。 2. 提高人们的 UPn
34、P 安全意识。 3. 推动设备中 UPnP 功能的安全评估,如设备不满足相关要求,禁止设备上市等。 作为用户: 1. 如无需要,关闭路由器的 UPnP 功能。 2. 借助工具,自查端口映射表,发现异常条目,及时清除。 3. 及时升级路由器等包含 UPnP 功能的设备的固件。 2018 物联网安全年报 110 附录 1 : 文中部分名词释义 1 SIP(Session Initiation Protocol):由 IETF(Internet Engineering Task Force,因特网工程任务组)制定的多媒体通信协议。 它是一个基于文本的应用层控制协议,用于创建、修改和释放一个或多个参与
35、者的会话。 2 ASN(Autonomous system number):ASN 为自治系统号码,是全球分配的大型网络系统编号,通过查询 IP 所属的 ASN, 可以准确的确定其所属的运营商。 3 ADSL(Asymmetric Digital Subscriber Line):ADSL 属于 DSL 技术的一种,也可以称作非对称数字用户环路,是一种数据 传输方式。 4 UPnP(Universal Plug and Play):通用即插即用技术。由微软等企业发起,基于一系列互联网协议和自行制定协议构成的 设备架构,为广泛存在的点对点网络互联定义了一个分布式、开放的网络体系结构。 5 OCF
36、(Open Connectivity Foundation):开放连接基金会,UPnP 技术原本由 UPnP 论坛制定,自 2016 年 1 月 1 日起, UPnP 论坛将其资产分配给开放连接基金会,继续对 UPnP 技术的改进和推动。 6 SSDP(Simple Service Discovery Protocol):简单服务发现协议,是一种多播发现和搜索机制, 基于 UDP 设计,适用于 UPnP 工作流程的发现阶段。 7 SOAP(Simple Object Access Protocol):SOAP 为简单对象访问协议,是一种基于 XML 的远程程序调用机制,通过 HTTP 发送命令
37、、接收数据,适用于 UPnP 工作流程的控制阶段。 8 GENA(General Event Notification Architecture):GENA 为通用事件通知架构,工作于 UPnP 的事件阶段,用于事件的订 阅和通知。 9 SCADA(Supervisory Control And Data Acquisition):数据采集与监视控制系统。SCADA 系统是以计算机为基础的 DCS 与 电力自动化监控系统;它应用领域很广,可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以 及过程控制等诸多领域。 10 Mirai:一款恶意软件, 可使运行Linux的计算系
38、统成为被远程操控的 “僵尸” , 以达到通过僵尸网络进行大规模网络攻击的目的, 文中也指其相关变种。 11 BrickerBot:和 Miral 类似,一款感染后会组建僵尸网络的恶意软件。 12 DDoSaaS(DDoS as a Service):泛指网络上买卖的 DDoS 服务。 13 SDK(Software Development Kit, SDK):一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统 等创建应用软件的开发工具的集合。 14 Hiden Seek:和 Miral 类似,一款感染后会组建僵尸网络的恶意软件。 15 ADB(Android Debug B
39、ridge):一个通用的 Android 命令行工具,其允许通过客户端与模拟器实例或连接的 Android 设备进 行通信。 16 IoTroop:和 Miral 类似,一款感染后会组建僵尸网络的恶意软件。 2018 物联网安全年报 111 17 Gafgyt:也称为 BASHLITE,Lizkebab,Qbot,Torlus 和 LizardStresser。是一个恶意软件,它感染 Linux 系统以启动分布式 拒绝服务攻击(DDoS)。 18 VPNFilter:是一种恶意软件,感染路由器和网络存储设备 19 UPnProxy:一种利用 UPnP 漏洞设置路由器的 NAT 转发行为。由于表
40、面上看像是对内网设备设置了代理,又与 UPnP 相关, 所以被 Akamai 称为 UPnProxy。 20 NAT(Network Address Translation):网络地址转换,也叫做网络掩蔽或者 IP 掩蔽(IP masquerading),是一种在 IP 数 据包通过路由器或防火墙时重写来源 IP 地址或目的 IP 地址的技术。 21 BYOD(Bring Your Own Device):自携电子设备,亦称自携技术(BYOT, Bring Your Own Technology)、自携电话(BYOP, Bring Your Own Phone)或自携电脑(BYOPC, Bri
41、ng Your Own PC)是一种允许员工使用个人移动设备进入他们工作区域并用 以处理公司资讯与应用程序的作业方。 22 SSH(Secure Shell):是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。一般用来认证和 加密操作系统的远程命令。 23 XML(Extensible Markup Languag):可扩展标记语言,是一种标记语言,也可以认为是一种约定好的格式。 24 Winbox:用于远程管理 MikroTik 路由器的客户端软件。 25 Coinhive:一种挖矿软件,提供了 API。 26 Monero:门罗币(缩写:XMR)是一个创建于 201
42、4 年 4 月开源加密货币,它着重于隐私、分权和可扩展性。与自比特币衍 生的许多加密货币不同,Monero 基于 CryptoNote 协议,并在区块链模糊化方面有显著的算法差异。 27 Telnet:Telnet 协议是一种应用层协议,使用于互联网及局域网中,使用虚拟终端机的形式,提供双向、以文字字符串为主的 命令行接口交互功能。 28 SQL 注入:通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。 29 RTSP (Real Time Streaming Protocol):实时串流协议是一种网络应用协议,专为娱乐和
43、通信系统的使用,以控制流媒体 服务器。 该协议用于建立和控制终端之间的媒体会话。 30 GDP(Gross Domestic Product):国内生产总值亦称国内生产毛额或本地生产总值,是一定时期内(一个季度或一年),一 个区域内的经济活动中所生产出之全部最终成果(产品和劳务)的市场价值。 31 SMB(Server Message Block):网络文件共享系统,一种应用层网络传输协议,由微软开发,主要功能是使网络上的机器 能够共享计算机文件、打印机、串行端口和通讯等资源。它也提供经认证的进程间通信机能。32 物联网白皮书 32 C&C (Command and Control) :C&C
44、是僵尸网络的控制端, 僵尸网络是攻击者出于恶意目的, 传播僵尸程序以控制大量计算机, 并通过一对多的命令与控制信道所组成的网络。 33 CNCERT:国家互联网应急中心 2018 物联网安全年报 112 附录 2 : 物联网设备常用端口与协议对照表 端口号协议 21FTP 22SSH 23Telnet 80HTTP 81HTTP 443HTTPS 554RTSP 1900SSDP 4567CWMP 5060SIP 7547CWMP 8080HTTP 8081HTTP 2018 物联网安全年报 113 附录 3 : 常见 UPnP SDK 关联漏洞 Portable SDK for UPnP d
45、evices 远 程 代 码 执 行:CVE-2012-5958,CVE-2012-5959,CVE-2012-5960,CVE-2012-5961,CVE- 2012-5962,CVE-2012-5963,CVE-2012-5964,and CVE-2012-5965,影响版本:=1.6.18 Miniupnpd 远程代码执行:CVE-2013-0230,影响版本: =1.0 拒绝服务:CVE-2013-0229, CVE-2013-1461, CVE-2013-1462, CVE-, 影响版本: 2.0 Realtek SDK 远程代码执行:CVE-2014-836
46、1,影响版本:=1.3 Broadcom UPnP Stack:SDK 版本未公开,依厂商固件的修复情况而定 远 程 代 码 执 行:CVE-2011-4499,CVE-2011-4500,CVE-2011-4501,CVE-2011-4502,CVE- 2011-4503,CVE-2011-4504,CVE-2011-4505,CVE-2011-4506,CVE-2011-4507,影响版本: 根据厂商版本 注:此 SDK 在扫描中报告的应用类型为 Proc,应用版本为 Ver。 HikVision 5.4.5 注:此设备在扫描中体现应用类型为 IPC_CIVIL_CMD 2018 物联网安
47、全年报 114 参考文献 1 JenX Botnet: A New IoT Botnet Threatening All, reports/jenx 2 黑客在一天内拥有了 18,000 台设备的僵尸网络, 18000-devices-in-one-day/ 3 HideN Seek 僵尸网络:在更多平台和设备上不断的添加漏洞利用, 4 HNS 僵尸网络新动态:已增加通过 Wi-Fi 感染 Android 设备的能力, 5 Playing HideN Seek: Worlds first IoT Botnet with custom-built p2p communication, resou
48、rces/files/News/CaseStudies/study/186/Bitdefender-Business-2017-WhitePaper-hidenseek-crea2444-en-EN- GenericUse.pdf 6 Mirai 变种僵尸网络预警:针对金融行业发起大规模 DDoS 攻击, 7 UPnProxy: Blackhat Proxies via NAT Injections, upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf 8 Akamai 官网, 9 UPNPROXY: ETERNALSILE
49、NCE, 10 黑掉 5 万多台打印机,只为推广他的 YouTube 频道? 11 Priter Exploitation Toolkit(PERT)源码,https:/GitH 12 2018 DDoS 攻击,IP 团伙行为分析报告, 13 CVE-2017-17215 - 华为 HG532 命令注入漏洞分析,http:/blog.hac425.top/2017/12/28/cve_2017_17215_hg532.html 14 Realtek SDK Miniigd UPnP SOAP Command Execution, UPnP-SOAP-Command-Execution.html 15 WINBOX VULNERABILITY,https:/blog.MikroT 16 深入分析 MikroTik RouterOS CVE-2018-14847 & Get bash shell, 17 20 多万台 MikroTik 路由器被黑,用户被迫扛起锄头挖矿, 18 Ukraine claims it blocked VPNFilter attack at chemical plant ,https:/www.theregister.co.uk/2018/07/13/ukraine_vp