异常物联网设备的 DDoS 参与度

国内物联网

资产暴露情况根据不同端口及扫描时长的扫描结果数据,对各类型的物联网资产的变化情况进行统计分析
发现,国内的物联网资产中, VoIP 电话的网络地址变更最频繁,发生过变化的资产占总资产的 80%,其次是 路由器
和摄像头,变化资产分别占 60% 和 40% [^1]。为保证资产的时效性与准确性,我们选择 2020 年 11 月的单轮国内物联网测绘结果,共发现 186 万个存活的 IP地址,具体国内物联网资产类型分布情况物联网设备类型分布如 下图 所示。其中,摄像头、 路由器、 VoIP电话数量分别位列前三,这和往年的分布是一样的,但是新增了安全设备和网络存储器; 网络安全设备主要是指防火墙、 WAF等安全产品;网络存储器( NAS)是一种专用数据存储服务器, 将存储设备与服务器彻底分离,集中管理数据,从而释放带宽,降低成本。近年来,国内的 NAS服务 器遭勒索病毒攻击事件频发,暴露互联网上的存储设备,更应该保障其安全。

图 3.37 国内物联网资产类型分布情况数据来源:绿盟科技威胁情报中心(NTI )

异常物联网设备的 DDoS 参与度

考虑到上文中提到的网络地址变化因素,我们仍然使用 2020 年 11 月的单轮国内物联网测绘结果。 与情报数据关联后发现在 186 万的物联网 IP 中异常物联网设备的数量约 28 万个,占比 15.4%。各异常 行为类型占比如所示,其中参与 DDoS 的物联网设备,所使用的 IP 数量约 8.2 万,占全部异常物 联网设备的 IP 总量的 28.7%。

参与 DDoS 攻击的物联网设备类型分布

从设备类型来看,全部参与 DDoS 攻击的物联网设备中,占比前五名的分别是摄像头、 VoIP电话、 路由器、网络存储器以及安全设备,占比总量约 94%,其中仅摄像头的数量就占总量的一半以上,约 61%。结合 图 3.39 中物联网资产类型的分布可知,摄像头和路由器由于其在互联网中暴露的基数大以 及各类设备所具有的一定共性决定了这两类物联网设备一直备受攻击者青睐。此外, VoIP电话被攻击
1 由于某些设备有多种异常行为,从而导致中累计百分比大于 100%。

者利用发起恶意行为的比例占自身数量的 4.3%,仅次于摄像头 4.4%,高于路由器 1.9%。由此可见, VoIP电话在 DDoS 攻击中也是容易被利用的物联网设备之一。
图 3.39 参与 DDoS 攻击的物联网设备类型分布 数据来源:绿盟科技威胁情报中心(NTI )

DDoS 僵尸网络

僵尸网络概览

2020 年度,绿盟科技伏影实验室监控到来自 DDoS僵尸网络的指令数逾 104 万条(截止 10 月底), 较 2019 年增幅近一倍。其中 DDoS 攻击指令条目约 103 万。
根据家族信息(含变种)、攻击目标和攻击时间三个维度,并规定指令下发超时时限,得出了逾 16 万起攻击事件,并在 8 月达到峰值。月度攻击事件数变化如下图:

DDoS 类型方面,相比于 2019 年,TCP flood、UDP flood 和 CC 占据主导地位,其中 TCP flood 与 CC 比重明显上升,如下图所示:

图 3.41 DDoS 类型对比
上述 DDoS 攻击总共来自 10 个家族。伏影实验室监控的家族活情况如下,易知 Mirai 处于支配地 位,制造了近 3/4 的攻击事件。

在攻击指令下发方面,情况则有所差异。 Dofloo(AESDDoS)占据了近 20%。同样,攻击事件数偏少的 SDBot 在指令数方面也排名靠前。这种差异主要源于 攻击特征以及其在国际化与非国际化的黑产平台上的不同推广程度。
60%,而 Mirai 只占不到
DDoS 家族自身的传播方面, 2020 年度 IoT 平台 DDoS 家族的漏洞利用数超过 130 个。利用载荷组成与往年类似, 位居前二的依然是 CVE-2017-17215 和 CVE-2014-8361,其余类型主要为各类设备的远程命令执行与注 入。而 Windows 平台家族的传播方式同样无显著变化, SQL注入、远程漏洞、弱口令爆破和破解软件 都是其入侵的常见手段。下图为本年度 DDoS 家族使用 IoT 平台流行漏洞:

图 3.44 IoT 漏洞利用情况

热点家族
  1. Mirai 与 Gafgyt
    Mirai 和 Gafgyt 仍旧是当今世界范围内影响最大的两个 Linux/IoT DDoS 家族。这两大家族因其代码 开源属性而利用广泛,故其变种如同雨后春笋般不断涌现,甚至改良并进化出新型家族,成为 IoT 安全 的严重威胁之一。
    Mirai 和 Gafgyt 的 C&C数量和攻击范围在当今可谓首屈一指。 2020 年,伏影实验室追踪到这两个 家族的 C&C地址就超过了 1500 个(更新到 11 月底),活 C&C占到 94%,平均每日就会新部署约 4~5 个 C&C。这些 C&C攻击了超过 22 万个 IP 和域名,平均每月 700 多个目标。下图为两个家族合并 后的月度攻击目标数变化:


图 3.45 Mirai+Gafgyt 攻击目标的月度数量
在 进 行 DDoS 攻 击 时, Mirai 和 Gafgyt 类 型 多 样, 包 括 SYN/ACK flood、IP flood 、UDP/TCP flood、DNS flood、Greth flood 和 HTTP flood 等手段,涵盖面从网络层到传输层。
传播方面, Mirai 和 Gafgyt 利用的最多的便是华为 HG532 路由器漏洞和 Realtek rtl81xx SDK 远程 代码执行漏洞,以上也是目前统计到的 IoT 家族使用最多的两个漏洞。此外,少数木马中出现的疑似
0day 载荷,表明其控制者在紧跟“时代步伐”的同时,依然在寻求更多更快的传播渠道。
此外,Mirai 和 Gafgyt 的开源属性为新型 DDoS 家族的衍生供了灵感和便利。 2019 年底,由 Mirai 运营者控制的 DDoS 家族 DarkNexus 开始活动。与 Mirai 和 Gafgyt 相比,DarkNexus 总体行为更 为复杂,DDoS 手段更为新颖,感染链条更加隐秘。 DarkNexus 还拥有 Mirai 和 Gafgyt 所不具备的定制 化扫描功能,使得定向传播成为可能。诸此特性为 IoT 安全增加了很多不确定性的威胁。

  1. Dofloo 、SDBot 和 Yoyo
    Dofloo(AESDDoS)长期被认为与 XorDDoS和天罚 DDoS 等家族属于同一个 DDoS 攻击组织。该 家族主要服务于灰黑互吃领域,攻击游戏私服与博彩等行业,其 C&C和 Victim 90% 均位于中国,本年 度攻击方式以 CC flood、TCP flood 和 UDP flood 为主。
    相比 Mirai 和 Gafgyt 这样的国际化的家族, Dofloo 暴露出的 C&C和攻击目标非常有限,制造的攻 击事件较少,可见其一直运营在小规模的黑产平台上。但这并不意味着 Dofloo 活度偏低。 2020 年伏 影实验室监控发现, Dofloo 在下发攻击指令的间隔大约在 5 秒钟 ~1 分钟左右,频度较高。若以 10 分钟间隔为超时上限,则相同 C&C针对相同目标下发的指令的连续时段最高可达 31 小时左右,这样的时 长加上每条指令自带的攻击次数或时间,足以令受害者业务崩溃。
    SDBot家族与 Dofloo 情况类似, C&C数量与攻击目标有限,但在本年度上半年特定时段内活跃度高, 下发攻击指令频率高,且指令连续下发时段最高可达 34 小时左右,攻击方式以 TCP flood 为主。
    Yoyo 家族在 DDoS 界已活 10 余年。本年度追踪数据显示,该家族背靠极少量的 C&C,运营范围 小于 Dofloo,然而同样在特定时段表现出高活度,且能够连续数月保持稳定的活度。本年度 Yoyo 以 ICMP flood 为支配攻击手段,其目标数量比起 Dofloo 也相对更多,范围更广,涉及跑分平台、加速器、 下载站、在线视频接口、博彩和私服等行业。
    从目前情况看,尽管这类家族整体规模有限,不过一旦接到任务就会非常活,不可小视。此外,
    在当今 Mirai 和 Gafgyt 变种引领的 DDoS 木马同质化的趋势下,它们的存在也反映了不同国家区域之间 的生态差异,并为解读这些差异提供了观察入口。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

GB-Z 20283-2006 信息安全技术 保护轮廓和安全目标的产生指南

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值