2017年度安全報告——IoT安全威脅

Internet of Things — Security

近年來，物聯網技術的普及和快速發展讓越來越多設備智能化，在公共領域，智慧環境 ( 家庭，辦公，工廠 ) 領域，個人和社會領域等方面都有深入應用，新的技術和設備引入也帶來了新的安全和隱私風險。該報告將探討2017 年整年關於 IoT(Internet of Things) 設備相關的安全問題。

通過對市面設備的分析和已爆發的 IoT 安全事件回顧，我們觀察到以下問題。

安全漏洞

安全漏洞是一個必然存在的問題，但必要的安全開發規範和習慣會減少漏洞的產生。

不安全通信

很多現有成熟的安全功能設計是可以復用到 IoT 設備中的，但依舊存在以下不安全通信的問題。

• 未經認證的通信
• 未加密的通信
• 驗證授權問題
• 缺乏必要的網路隔離

數據泄露

很多物聯網設計方案依託於雲端， 設備和雲端處理通信，也會設備之間互相通信，均可能存在數據泄漏風險 ( 用戶信息，隱私， keychain 等 )。

雲端泄漏

雲端服務面臨傳統雲安全挑戰， 但因為和物聯網的融合， 一旦雲端淪陷， 將影響接入的物聯網安全。

設備之間泄漏

開發設計安全意識

由於開發設計階段人員安全意識不足，導致設備原生就存在安全弱點，易被攻擊。

硬編碼問題

由於開發過程不規範，導致私鑰，API KEY，鏈接服務端密碼被硬編碼到固件，導致信息泄露所帶來的安全問題。

默認身份認證憑據 ( 密碼，口令 )

許多 IoT 設備使用相同的默認密碼， 且用戶無法主動修改密碼。

硬體安全

IoT 設備一定會涉及嵌入式設備硬體， 硬體本身安全性也應考慮其中， 如串口， 一旦缺乏必要的認證機制， 暴露給攻擊者， 攻擊者可以很容易查找到敏感信息， dump 固件， 從而導致上述任意一環安全問題。

由這些安全問題， 整個 IoT 生態也爆發了一系列安全事件曝光於眼前， 也有大量沒有曝光， 依舊暗藏於互聯網空間中。

IoT 設備的嚴重碎片化

由於 IoT 暫時屬於新生事物， 各個廠商有不同的設備功能， 實現， 版本， 難免出現眾多安全問題。

Nday 重複利用

同一廠商的不同產品由於實現類似功能時復用代碼， 有可能已披露的漏洞在某一產品修復但依然可以攻擊另一產品。

不安全的第三方

引用不安全的第三方庫引發對自身產品的安全影響。

完整性和簽名校驗

對於 IoT 設備來說， 完整性校驗和簽名校驗可以有效的對抗漏洞利用， 涉及到從 BootLoader 到 OTA 的各個階段， 甚至可以到網路通信過程。

• 易感染惡意代碼
• 易被篡改功能通信實現 IoT 設備本身的惡意行為
• 獲取敏感信息，隱私等

Mirai 及其變種

2016 年爆發的 Mirai 事件經過一年的沉澱， 依舊對互聯網產生著影響， 尤其是作者公開源代碼後， 各種 Mirai變種 」 百花齊放 「， 不少變種比 Mirai 原本更具有攻擊性。

IoT_reaper

IoT_reaper 脫胎於 Mirai， 但在諸多方面更是優於 Mirai， 放棄弱口令攻擊模式， 轉而直接對 IoT 設備進行漏洞利用。

Satori

Satori 同樣源於 Mirai， 除了在利用漏洞方面青出於藍勝於藍外， Satori 還有自掃描模塊， 更加方便蠕蟲的傳播。

Hajime

Hajime 和 Mirai 不 同 的 是， 這 是 一 個 低 調 的 P2P botnet， 產生後並沒有在公眾視野過於張揚， 只是藏於暗處悶聲發財， 由於是一個 P2P botnet， 安全人員很難通過黑名單對Hajime sinkhole。

IoT 挖礦

隨著匿名貨幣龍頭 BTC 的暴漲， 整個匿名數字貨幣水漲船高， 其匿名， 安全， 無法追蹤的特性， 給網路黑產滋生帶來了春天， 從今年 5 月的 SambaCry 漏洞後， 我們觀察到大量野外利用攻擊 IoT 設備進行 CPU 算力貨幣挖掘 (XMR 門羅幣 )，IoT 設備的數量優勢以及漏洞修復推送不及時等原因讓其成為挖礦黑產里的新貴。

DDoS

無論是 Mirai 還是變種或任意 IoT botnet， 其變現要麼挖礦， 要麼 DDoS。

IoT 安全方向討論

IoT 設備所直面的安全和隱私風險挑戰最終會在用戶使用設備時完全體現， 由於 IoT 設備比傳統的 PC 設備或伺服器設備更加貼近用戶態， 關聯到的隱私數據或財產數據比傳統設備更多， 這也使得攻擊者青睞於這一新興事物 ; 其次， IoT 設備通常不會提供清晰完整的控制部署文檔，也不會告知再部署設備時有可能帶來的風險， 這使得用戶對設備完全處於黑箱狀態， 當安全和隱私收到威脅時感知度不高。

用戶心態

大多用戶都是非技術人員或者對技術不感興趣的群體， 這樣的最終用戶不具備評估隱私和安全的專業能力， 所以導致弱口令泛濫， 版本不升級等情況。

互聯網接入

大量暴露在公網的 IoT 設備， 帶來了惡意軟體和漏洞利用的落地入口。

設備基數

IoT 設備由於大部分價格成本較低， 所以數量龐大， 大量的IoT 設備基數也就使得易被攻擊的比例增多， 數量龐大的設備能帶來的變現能力和攻擊能力更是不能小覷， 2016 年的 Mirai 事件就是最好證明。

設備功能特性

很多 IoT 設備貼合用戶隱私， 如攝像頭， 麥克風， 門鎖，醫療設備， 智能穿戴支付等， 和用戶貼合越密切， 越容易泄露敏感信息， 偷聽， 偷窺， 遠程打開門鎖， 盜刷支付等。

易攻擊性

許多 IoT 設備都不遵循安全性的最佳實現， 這使得攻擊 IoT設備門檻變低， 單帶來的影響卻變高。

IoT 威脅分析

這一部分我們會針對不同切入點從技術角度討論 IoT 的安全性，並將通過回顧 2017 一整年事件作為表現方式。

IoT 不安全通信

在廠商與廠商的合作之間勢必會相互開放介面或者通信密鑰以及一系列相關資源，這就導致了，但凡有一家合作廠商的安全做的不夠出色，這就導致了短板效應的出現而拉低了眾多廠商的安全等級。A 廠商和 C 廠商的合作使得 A 廠商幾乎只承擔的了集成 SDK 的成本就獲得了一項智能家居產品，而 C 廠商也僅僅是提供了 SDK就拓寬了自己的銷售渠道，這樣的合作模式肯定受到雙方歡迎的，但是這之間的安全問題是值得關注的。

• 通信的密鑰
• 身份 TOKEN
• 完整的設備信息
• 完整的控制請求

根據上述的問題，再結合一定的分析往往就能很容易的得出一份令人滿意的漏洞。

認證繞過導致接管設備

智能硬體的人機交互很多由 APP 控制，如果 APP 存在安全問題，這就會導致許多隱患：

• 通信模型設計不當
• 驗證認證流程存在繞過，或極不完善
• 查詢介面許可權認證粗糙
• 涉及伺服器敏感信息泄露

逆向某智能家居 APK

通過簡單的認證流程模擬，由一個手機號即可獲取大量設備關鍵信息，甚至控制密碼。

通過手機獲取設備信息

再根據已掌握的信息，進行設備控制指令的生成也是十分簡單進而完全控制設備。

完全控制設備

在遠程控制解決方案上，互聯網層面多由 XMPP 協議進行通信，但部分廠商在使用上僅僅著手於 XMPP 協議的及時性和開放性，對於一些必要的安全措施並沒有進行良好的設計。某廠商該特意設計了一個控制伺服器，來接受和記錄設備的綁定以及設備狀態查詢的服務，該伺服器沒有任何許可權設置，也沒有token 校驗，可以抓包後任意重放，從而獲得任意設備 mac 所綁定的用戶手機號，同時，還有以下安全問題 ：

• 在伺服器上存儲用戶設備控制密碼
• 對設備控制許可權變更?校驗，任何人可以在任何情況下對設備進行重新綁定，解綁，添加信任用戶等危險操作
• 並在特殊的構造下，可以直接獲取到任意設備的控制密碼

在通信過程中消息內容採用固定格式：

wan_phone%015bee58-xxxx-xxxx-xxxx-31598127xxxx%password%open%relayn

在 局 域 網 內 設 備 采 用 UDP 無 連 接 通 信， 通 過 向 設 備 發 送 連 續UDP 報獲取設備信息，通過構造控制指令，變換 mac 地址即可批量完全控制設備。

小結

由於設備不安全通信 , 攻擊者對現有用戶會產生用戶敏感信息泄露 和IoT 設備為攻擊者大開方便之門的安全問 題 . 最終甚至危害到廣大用戶的人身以及財務安全。

已有的改進

• 盡量避免了將設備直接暴露在公網中
• 已有一些通信上的加密措施 , 不再是任何?都可以向設備發送消息
• 避免 IoT 設備的固件開發下載

尚存或演進的問題

• 以CS 模式通信 , 但是通信結構和驗證過程過於簡單或沒有 ,導致?旦攻破便可危害所有在網設備
• APP 的安全開發意識十分薄弱
• 廠商合作之間的信任鏈單一 , 信任關係簡單
• 多模式設計下 , 短板效 應明顯 , 在某一模式安全性的缺失則導致整套安全系統崩潰
• 對用戶信息 , 設備的存儲和查詢 , 存在致命的缺陷 , 對用戶信息無任何保護手段 , 很容易獲得設備用戶的對應關係

早期 , 網路病毒、蠕蟲入侵的對象只是計算機 , 隨著物聯網時代的到來 , 入侵的對象由電腦轉向網路攝像頭和 路由器 . 萬物互聯時代的惡意軟體猖獗 , 導致 IoT 殭屍網路的瘋狂滋生。

此處我們會討論 2017 年幾個極具代表 性的 IoT 惡意軟體。

IoT 惡意軟體威脅

2016 年爆發的 Mirai 事件經過一年的沉澱 , 依舊對互聯網產生著影響 , 尤其是作者公開源代碼後 , 各種 Mirai 變 種」百花齊放」,不少變種比 Mirai 原本更具有攻擊性 .

IoT_reaper

以 2017 年 10 月 爆 發 的 IoT_reaper 為 例 , 該 僵 屍 網路 脫 胎 於mirai, 但是在諸多方面比 mirai 更進一步 , 特別是開始放 棄弱口令猜測 , 完全轉向利用 IoT 設備漏洞收割。

IoT_reaper 相較於 mirai 仍有幾個明顯區分點：

1. 惡意代碼投入時不再使用弱口令猜測、而是使用 iot 設備漏洞，掃描發現效率大大提高；
2. 惡意代碼中集成了 LUA 執行環境，從?支持通過 lua 腳本編寫複雜的攻擊指令；
3. 主動抑制了掃描速度，被安全研究者發現的風險大大降低。

其中最為可評說的是 IoT_reaper 完全放棄了 mirai 中利用弱口令猜測的方式，轉為利用 IoT 設備的漏洞植入，當前樣本中集成了了 9 個 IoT 設備漏洞。

IoT_reaper 利用漏洞情況

在 2017.10.13 至 2017.10.23 之間單台 C2 的感染情況如下：

Satori

2017 年 11 月 22 日 , 360 網 絡 安 全 研 究 院 觀 測 到 有 大 量 掃 描集 中 在 23 和 2323 端 口 , 並 通 過 admin/CentryL1nk admin/QwestM0dem 兩組用戶名密碼進行爆破 , 其針對的是 ZyXEL 調

制解調器 , 之後該殭屍網路 C2 被 sinkhole。

2017 年 12 月 05 日 , Satori 的 新 版 本 開 始 在 端 口 37215 和52869 上迅速傳播。

相較於 mirai, 區分如下：

• bot 不再完全依賴以往的 loader/scanner 機制進行惡意代碼的遠程植入，而是自身有了掃描能力 ;
• bot 中增加了兩個新的漏洞利?，分別工作在埠 37215和 52869 上

從 12 月 05 日開始可以看到 263250 個不同的 IP 在掃描目標埠：

12 月 5 日目標埠掃描情況

此次 Satori 的新版本主要利用到的是 CVE-2014-8361(52869埠 ) 和一個華為路由器的 0day CVE-2017-17215(37215 埠 )。

Satori 在傳播過程中 , 不僅會利用上述漏洞利用 , 而且會迫使受感染設備從原始下載 URL 處繼續下載 Satori 自身的惡意代碼。這樣周而復始 , 使得惡意代碼類似蠕蟲式地傳播。

Setbox

2017 年 8 月 , 國內觀測到一系列 DDoS 攻擊 , 通過溯源發現攻擊來自於一批電視機頂盒 , 通過樣本分析 , 依舊可以歸為 mirai 家族的 Satori 變種 , 其 DDoS 攻擊代碼一致 , 代碼結構基本沒改變。

但該殭屍網路針對有線電視終端機頂盒進行 telnet 口令爆破 , 將mirai 的攻擊面延展到機頂盒設備 , 這無疑增加了影響範圍。

該殭屍網路攻擊傳播如圖所示：

Satori 殭屍網路船舶原理

通過 360 網路安全研究院數據觀測 , 兩個 C2 請求態勢如下：

http://185.130.xxx.xxx:7723

http://185.47.xx.xxx:8716

小結

由以上三個 IoT 惡意軟體看出 , 在 Mirai 開源代碼後 , 其變種層出不窮 , 且青出於藍勝於藍 , 主要表現為 :

• 保留 Mirai 的基本框架特性
• 利用漏洞 ( 甚至 0day) 收割未被弱口令命中的 IoT 設備
• 自身添加了掃描能力
• 集成 LUA 環境升級自身編碼能力
• 和安全研究人員對抗性加強

在物聯網相關的安全問題越來越引發關注的背景下 , 對在互聯網上暴露的 IoT 設備進行分析和梳理是非常有必要的 ,360CERT 自行研發的 QUAKE 網路測繪平台孕育而生 , 利用網路空間測繪技術 ,

發現存儲相關的 IoT 設備 , 形成威脅情報。

IoT 設備網路測繪情況

IoT 設備網路測繪總覽

由於不同廠商設備指紋凌亂特徵區分不明顯 , 搜索結果可能和實際情況有出入 , 實際暴露情況可能比以下數據更多。

從全球分布來看 , 設備暴露情況以路由器為主 , 超過了 3100 萬。

路由器全球測繪情況

其次為是視頻監控設備 , 超過 800 萬設備暴露在公網。

監控設備全球測繪情況

其中印表機位列第三 , 超過 80 萬印表機暴露於公網。

印表機全球測繪情況

路由器暴露情況

通過統計 , 我們發現一個有趣的情況 , 在路由器暴露全球分布上 ,中國獨佔鰲頭總量超過 1000 萬。

全球範圍內 , 暴露數量最多的服務依次是 HTTP、FTP、UPnP和 TR-069; 國內範圍內 , 83% 的路由器開放了 UPnP 服務。

• HTTP 服務以 80, 8080, 8081 等常見埠為主
• FTP 服務埠為 21, 不排除存在匿名訪問的情況
• TR-069 協議以 7567, 4567 埠為主
• Telnet 以 23 和 2323 為主 , 很多可以直接訪問到魔改前後的路由系統 , 也由此 Telnet 成為攻擊者的主要目標
• 從國內數據統計來看 , 超過 80% 的路由設備開放了 UPnP服務

視頻監控設備暴露情況

視頻監控設備一直在安防領域佔據主導地位 , 但今年發生的一些黑天鵝事件已經對智能安防設備的安全性敲響了警鐘。

海康威視和大華兩大廠商作為監控設備龍頭 , 市場佔有量大 , 所以暴露在公網的設備也以這兩大廠商為主。

海康達到 300 萬左右的全球設備暴露量 , 大華達到 200 萬左右的全球設備暴露量 , 剩下以 D-Link, Cross 等廠商設備為主。

( 該圖表數據來自於綠盟 < 物聯網安全研究報告 >)

印表機設備情況

在本次統計中 , 令人意想不到的是印表機暴露佔比不少 , 隨著智能化辦公的推進 , 移動設備列印需求增大 , 印表機逐漸朝著智能化發展 , 越來越多的功能也伴隨而來更多的攻擊面。

在全球設備暴露方面 , 惠普占量最多 , 達到 50 萬左右 , 其次愛普生 ,富士施樂等大廠商也佔比較高。

惠普印表機全球以美國暴露量最大 , 其次為韓國 , 加拿大。

在印表機尋求攻擊面上 , 除了常規的 web 控制端 , 631 埠 ipp 訪問弱口令一類認證問題 , 我們還發現了 9100 埠 PJL 服務安全問題。

通過PJL 命 令 , 可 以 使 支 持 Postscript 的 打 印 機 切 換 至Postscript 模式 , 直接執行 Postscript 代碼進而控制整個印表機。

小結

雖然一個物聯網設備暴露在互聯網並不一定意味著這個設備存在問題 , 但能說明該設備存在被攻擊甚至被利用的風險。

通過網路測繪 , 我們發現以下問題：

• IoT 設備暴露公網量巨大 , 且很多存在安全風險
• 路由器和智能安防設備佔有量為主
• 中國在全球設備暴露量中佔比較大
• 大量的 IoT 設備暴露給攻擊者落地進一步攻擊提供了便攜
• 越來越多的傳統設備在向智能化靠近且已經佔到全球設備暴露量前列

IoT 安全發展展望

合規性管理

IoT 正在驅動著一輪新的行業變革 , 但在不同行業 , 安全需求不統一 , 落地的安全方案也不全面成熟 , 在安全監管和應對措施上也沒有明確思路。僅僅依靠某個組織 , 行業的安全推動是遠遠不夠的 ,

需要更高層級的協調以及統一的合規性管理。

舉例參考 2016 年由於 Mirai 引發的斷網事件 , 美國次月即發布了《保護物聯網策略準則 (1.0 版 )》, 今年 5 月還簽署了總統令《加強聯邦網路和關鍵基礎設施的網路安全》, 均要求各私營企業、研

究機構、社會團體圍繞減少殭屍網路威脅和維護物聯網終端設備安全問題 , 提出法律、政策、標準、技術等方面的建議 。

加強政府的監管和立法，不僅有助於提高社會和國家對物聯網安全的重 視程度，而且也能進一步推進物聯網產業向著健康、安全的方向良性發展。

物聯網安全標準建設

在任何技術的發展和演進過程中 , 標準都有著至關重要的作用 , 理論形成標準 , 標準指導產品和解決方案的完善。從現在的情況看來 , IoT 處於起步蓬勃發展的階段 , 以指南和框架為主 , 能夠指導產業落地 , 解決大塊的安全痛點。

參考

http://blog.netlab.360.com/wa-a-new-mirai-variant-is-spreading-in-worm-style-on-port-37215-and-52869/

http://blog.netlab.360.com/iot-reaper-a-quick-summary-of-a-rapid-spreading-new-iot-botnet/

http://www.nsfocus.com.cn/upload/contents/2017/12/20171205171653_35944.pdf

登錄安全客 - 有思想的安全新媒體www.anquanke.com/，或下載安全客APP來獲取更多最新資訊吧~

推薦閱讀：