原理简介
国内的 IPv4 的地址比较少,网络地址翻译(NAT)技术可以很好地解决地址不够用的问题,在网关处设置 NAT可以解决将内网某些服务映射到外网以便访问的需求;此外,NAT向外部屏蔽了非必要的 内网服务,网关建立了内网设备与外部用户之间的边界,其他的服务在网关处得到保护。UPnP 技术在 网关内的集成,使 NAT的设置不但可以手动操作,还可以由安装在内网机器的客户端
开启 UPnP 协议后, 与网关交互:网关可开启一个端口,将内网中的服务映射到外网。所以,为便于阐述,分为以下三个场景:
- 网关没有 UPnP 功能。
- 网关有 UPnP 功能,而内网设备不具备和网关的 UPnP 协议交互的功能。
- 网关有 UPnP 功能,且内网设备具备和网关的 UPnP 协议交互的功能。
假设 UPnP 协议或服务存在漏洞,且该漏洞能被攻击者利用,利用效果是:攻击者能把内网中的任 意主机的任意端口映射到网关的端口上,那么,场景 2 和场景 3 的内网设备,如果开启了 SSH、FTP 等服务,很有可能被攻击者攻陷。技术上,UPnProxy 是向网关的 XML等配置文件中注入 NAT表,从 而配置网关使内网服务通过网关的端口暴露。这使得网关如同一个攻击者用来访问内网服务的代理服务器
,因而被称为 UPnProxy。
小结
路由器和光猫作为家庭宽带上网的必备设备,更应该注重对网络边界的防护,UPnProxy 脆弱性提 醒了物联网
厂商需要在网关处加强防护,尤其是对内部服务的访问控制。一旦被攻击者渗透进家庭和企 业内网,则面临隐私泄露,重要数据被勒索、甚至危害人身安全等风险。
万台路由器
被黑导致内网设备恶意挖矿
事件回顾
MikroTik路由器开放了一个管理路由器的服务,可通过专用的软件(Winbox)密码认证后访问。在 2018 年 3 月份,MikroTik 通过博客公布了一个 WinBox漏洞 [15] 。同年 8 月,互联网上约 20 万台未更 新固件的 MikroTik的路由器被发现与恶意的挖矿行为有关 [17] 。在此次事件中,攻击者通过向用户浏览 的页面中植入 Coinhiv
e 挖矿脚本,迫使用户在不知情的情况下,牺牲内网设备的算力挖掘 Monero 加密 货币,并将获益转发给攻击者的钱包地址。
原理简介
利用 3 月公布的漏洞,攻击者可以通过 Winbox 从设备读取文件,获得对路由器的未经身份验证的 远程管理员访问权限,从而管理路由器。成功登陆路由器后,攻击者启用 HTTP 代理功能将所有 HTTP 403 的错误页面重定向到一个自己创建好的包含 Coinhive 挖矿脚本的页面,这样用户在浏览到任何类 型的错误页面时,都会跳转到这个包含挖矿脚本的自定义页面进行挖矿。
在 2018 年 10 月 [16] ,一位名为 icematcha 的研究人员研究了该漏洞并详细阐述了进一步利用后门 控制 MikroTik路由器并获取了 Linux系统的 Bash,这次研究表明攻击者有途径利用该漏洞构建一个庞 大的僵尸网络。
图 1.6 利用后门获取 MikroTik 路由器的的 Bash
小结
持续跟踪 Coinhive 家族控制的物联网设备,并详细分析了该家族的挖矿设备的分布情况。
尽管厂商及时发现并修补了该漏洞,但是一部分用户并没有及时升级固件,使得攻击者趁机攻陷了 20 万台设备。可见定期获取厂家的安全通告、及时更新和加固设备是非常必要的。
总结
本章回顾了 2018 年 7 个物联网安全事件,其中前 3 个和 DDoS 攻击的事件相关,DDoSaaS 事件的 出现,表明感染物联网设备、构建僵尸网络、直接发动 DDoS 可能已经不是最重要的目的,攻击者还会 借助买卖 DDoS 服务牟利。由于物联网设备普遍存在脆弱点,今后暗网等灰色地带会经常出现基于物联 网僵尸网络的网络攻击服务的交易。不论是谁,可能仅需 20 美元即可完成一次高达 300Gbps 的 DDoS 攻击,物联网相关的攻击的频次和强度无疑会增加,物联网设备的安全治理应引起足够重视。
中间两个事件分别与国家和大型企业的安全相关,不仅仅包括物联网设备自身被攻击,还出现了计 算机网络的攻击也会破坏物联网 / 工业互联网的运行安全这样新型安全问题,如台积电的设备被感染后 停工了三天,影响了部分芯片的供应。甚至有些攻击夹带着国家行为,如乌克兰成功拦截了 VPNFilter 针对化工厂的攻击行为。
后两个事件中,一个事件是路由器的网络边界被突破导致的更多内网设备被暴露出来。可以想象, 如果攻击者先将路由器等物联网设备开启 UPnP 服务,然后新建 SSH 服务、FTP 服务、Telnet 服务的 端口映射,攻陷内网的主机,那么,攻击者控制的僵尸主机会大量增加,再结合放大攻击等攻击技巧,
可将 DDoS 攻击的峰值上升一个数量级。另一个事件是路由器被攻击者利用,诱使内网设备挖矿,可见 一些攻击者在某些品牌的路由器的认知程度上已经达到专家级别,想要理清攻击者的攻击原理需要花费 一定精力,这无疑将增大物联网安全防护难度。
总之,感染物联网设备、买卖攻击服务、肆意发动攻击,其中甚至有国家行为的影子,这些事件表 明针对物联网设备或由物联网设备发动的攻击对各国的关键信息基础设施安全构成了严重的威胁,物联 网安全形势依然严峻。
物联网资产暴露与变化情况分析
绿盟科技的《2017 物联网安全年报》中,公开了物联网资产在互联网上的暴露情况,在过去的一年里, 我们又进一步对物联网资产的暴露情况进行跟踪,本章将着重介绍一些我们的新发现。首先,给出了 2018 年累计暴露的物联网资产的数量,通过对国内路由器、摄像头和 VoIP电话的资产变化数量对比分 析,发现有相当一部分数量物联网设备是处于频繁变化的状态中,接着对资产的网段变化情况以及对部 分抽样网段实际扫描对比分析,初步验证了资产动态拨号入网的方式会导致资产网络地址变化的猜想, 对部分变化资产的 ASN(Autonomous System Number)分布情况进行统计,描绘了变化的物联网的特征, 最后又简述了物联网资产变化现象可能产生的影响。
429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
