卡巴斯基:物联网威胁态势严峻 弱密码撞库和漏洞利用是主要攻击方式

首页 / 业界 / 报告 /  正文
作者:安全419
来源:安全419
发布于:2023-10-11
近日,卡巴斯基发布了2023年上半年物联网威胁态势的分析报告,对2023年的物联网威胁形势以及暗网上提供的与黑客连接设备有关的产品和服务进行了分析。



报告指出,物联网设备(路由器、摄像头、NAS盒和智能家居组件)每年都在成倍增长。据Statista预测,到2030年,他们的数量将超过290亿。随着连接设备数量的增加,对各种威胁的保护需求也在增加。
 
弱密码撞库漏洞利用仍是攻击物联网设备的主要方式
 
报告指出,有两种主要的物联网感染途径:弱密码撞库和利用网络服务中的漏洞。
 
Telnet是一种非常流行的未加密物联网文本协议,也是暴力匹配攻击的主要目标。成功破解密码后,攻击者就能够在设备上执行任意命令并注入恶意软件。对使用SSH(一种加密流量的更高级协议)的服务进行暴力攻击也会产生类似的结果。然而,攻击SSH需要更多的资源,而与Telnet相比,在线可访问的服务数量更少。
 
2023年上半年,卡巴斯基的蜜罐注册的97.91%的密码暴力尝试以Telnet为目标,只有2.09%以SSH为目标。大多数受感染设备被追踪到中国、印度和美国,而他们会作为跳板继续实施下一次攻击。包括印度、美国、巴西、俄罗斯等都是攻击最活跃的国家和地区。
 
在所有的攻击类型中,暴力攻击相当常见,因为在物联网设备上运行的Telnet和SSH服务通常使用众所周知的默认密码。不幸的是,用户倾向于使用一个固定密码。甚至许多物联网设备还使用着制造商设置的初始密码。
 
另一种感染设备的方法是利用设备上运行的服务中的漏洞。在发送到web界面的请求中注入恶意代码是利用漏洞的最常见方法。这些攻击的后果可能是巨大的,例如在ISP用于自动化LAN上设备配置的TR-064协议实现中存在漏洞的情况下。该安全漏洞导致TR-064数据包未经身份验证地传输,导致Mirai恶意蠕虫软件泛滥。
 
DDoS攻击、僵尸网络和0Day物联网漏洞在暗网中大量交易
 
通过监测暗网上攻击者声称能够提供的所有与物联网相关的入侵服务中,DDoS攻击显然是一个永恒的话题。由物联网设备组成的用于分布式DoS攻击的僵尸网络在暗网论坛上变得越来越普遍,所有攻击者都对这一服务有着很大的需求。





报告指出,2023年上半年,卡巴斯基数字足迹情报服务分析师在各种暗网论坛上总共发现了700多条针对DDoS攻击服务的广告。DDoS攻击服务的价格也会有所波动。价格的波动是由攻击复杂性等多重因素决定的,例如攻击目标的DDoS保护策略、CAPTCHA和受害者侧的JavaScript验证等等。攻击的总成本在每天20美元到每月10000美元之间。
 
此外,针对物联网设备的黑客攻击服务也在暗网中被公开出售,网络犯罪分子会以付费的方式协助发现并利用物联网设备中的零日漏洞,以实现入侵目的。


此外,卡巴斯基研究团队还在暗网论坛中发现了大量关于物联网恶意软件的交易活动,通常他们会与基础设施和配套设施一起打包交付,有些卖家还会提供协助恶意软件安装以及定制服务。
 
在下面的屏幕截图中,网络犯罪人员便提供了一个自制的DDoS机器人,配有C2服务器和通过Telnet或SSH上传恶意软件的软件:
 


攻击物联网的恶意软件的目标和类型
 
报告指出,意图感染物联网设备的网络犯罪分子可能存在不同的攻击目的,譬如他们可能希望利用受感染的硬件作为发动网络攻击、伪装恶意流量、利用设备资源进行加密挖矿或要求赎金以恢复对设备的访问的工具。有些可能攻击任何物联网设备,而另一些则只攻击能够为其目标服务的特定类型的硬件。报告概述了物联网恶意软件的特定用途类型,包括:
 
DDoS 僵尸网络

劫持设备并使用它来发起针对各种服务的 DoS 攻击的特洛伊木马是最常见的物联网恶意软件类型。对于DDoS恶意软件,目标设备类型或许无关紧要,因为每个设备都能够实现攻击者的目标:通过Web发送请求。尽管这些恶意程序中的大多数都源于修改后的Mirai代码,但还有许多其他家族在传播和获得持久性的技术上有所不同。
 
例如,RapperBot虽然使用了Mirai代码库的某些部分,但主要由原始代码组成。其功能包括智能暴力破解通过分析从 Telnet 服务接收的身份验证数据的初始请求。恶意软件可以使用该请求来识别设备类型,并继续仅针对该类型的暴力破解密码,从而提高其自我传播性能。
 
勒索软件

与DDoS恶意程序不同,勒索软件主要针对包含用户数据的物联网设备:NAS盒子。DeadBolt恶意软件在2022年攻击了数千台QNAP NAS设备,是物联网勒索软件的一个典型的例子。该恶意软件利用了CVE-2022-27593漏洞,该漏洞允许攻击者修改NAS设备上的系统文件,最终会导致用户文件被加密勒索。尽管制造商发布了解决该漏洞的更新,但类似的攻击仍然令人担忧。
 


研究发现,尽管它们的处理能力很低,但仍然有攻击者尝试将物联网设备用于比特币挖矿在Mirai活动期间。不过由于效率相对低下,这种做法并未普及。
 
DNS更改程序

恶意行为者可能会使用物联网设备来锁定与其连接的用户。2022年一项被称为漫游螳螂的活动中,研究人员监测到了一个正在传播的Android应用程序,其功能包括通过管理界面修改Wi-Fi路由器上的DNS设置。任何仍在使用默认访问凭据的路由器(如 admin:admin)都可能受到感染。
 
在这样的设备上,配置将被更改以使其使用运营商的DNS服务器。然后,此服务器会将连接到路由器的所有用户重定向到将恶意APK文件上传到Android设备并在iOS设备上显示网络钓鱼页面的网站。
 
代理机器人程序
 
滥用受感染物联网设备的另一种普遍方式是将其作为重定向恶意流量的代理服务器,从而使其难以跟踪。这些代理服务器主要用于垃圾邮件活动、规避反欺诈系统和各种网络攻击。
 
物联网恶意软件:竞争与持久性
 
物联网恶意软件以源自Mirai的种类繁多的家族而著称,Mirai于2016年首次发现,其作者将Mirai的源代码发布在了一个暗网论坛上,在短时间内,有大量的参与者使用DDoS技术、暴力字典和用于自我传播的漏洞对该恶意软件进行了数百次迭代。
 
一时间包括专门从事DDoS攻击的犯罪团伙和只针对物联网攻击的团伙都加入了进来,大量涌入的参与者加剧了网络犯罪分子之间的竞争。因此,恶意软件开发人员开始添加旨在中和受感染设备上的竞争产品并防止竞争对手进一步感染的功能。
 
最先入侵设备的攻击者,通常会添加阻止传入连接尝试的防火墙规则。远程设备管理服务将关闭的频率较低。而晚来一步的恶意软件将搜索某些进程名称、扫描端口并分析设备内存中的恶意模式,以抑制设备上已存在的感染。因为黑客争夺对设备的控制权,与竞争对手相关的进程将被终止,文件将被删除。
 
由物联网设备产生安全威胁通常会向其他领域扩散
 
研究发现,许多攻击者都对联网摄像机表现出较大的兴趣,受感染物联网设备访问权限的大量交易记录也都证明了这一点。有多种方法可以通过非法访问网络摄像头获利。摄像头可能仅因其CPU能力,挖掘加密货币或安装DDoS实用程序而被黑客入侵。但实际上他们还可以用作路由器(代理或VPN服务器)以匿名化非法流量。
 
研究消费者网络摄像头领域的安全研究员Paul Marrapese表示,联网摄像头的安全漏洞并不少见。遗憾的是,设备供应商对此并不重视。值得一提的是,联网摄像头的制造商经常采用点对点(P2P)协议来实现交互,但这些协议要么对流量加密不良,要么根本不使用加密,使设备面临中间人 (MitM) 攻击。攻击者可以轻松窃听设备流量并窃取用户凭据或重定向视频流。
 
除了普通消费者外,安全性不足的问题也深深困扰着工业物联网设备。使用默认密码是工业物联网设备中最常见的配置问题。
 
例如,一家用于将电梯设备连接到控制室监控系统的媒体转换器制造商在服务文档中提供了这些设备以及高度不安全的连接和配置提示。除此之外,我们的研究人员发现,这些设备本身就存在漏洞,即使技术不太熟练的黑客也可以利用这些漏洞来完全控制转换器。
 
物联网设备吸引黑客的原因有很多:它们可用于进行DDoS攻击,伪装流量或通过内置网络摄像头窥探私生活。同样,NAS设备也可能成为勒索软件团伙和路由器的目标,恶意行为者正在追逐连接到这些设备的设备,包括公共 Wi-Fi 网络上的智能手机或受害者局域网上的其他设备。
 
除了攻击物联网外,黑客还在暗网市场上提供服务。也就是说,由于使用默认密码和设备漏洞的存在,大多数连接设备(包括工业环境中的设备)仍然很容易成为猎物,其中一些供应商从未修复过。
 
报告强调,包括家用和工业物联网设备的供应商都应采取负责任的产品网络安全方法,并在产品设计阶段引入保护措施。此外,卡巴斯基还建议,设备制造商应该放弃默认密码,为每个单元使用唯一密码,并定期发布补丁以解决任何发现的漏洞。