国内异常物联网设备省份分布
对于国内的异常物联网设备集合中的数据,我们同样以省份维度作进行分析,并关联异常行为和设 备类型等信息,得出如下观点。
观点 6: 作为国内 GDP的省份领跑者,广东、江苏、山东、浙江和台湾等省份的物联网设备数量 规模为前五,异常物联网设备规模省份排名中江苏、广东、浙江、山东仍在前四。说明物联网设备普及 程度与当地的经济紧密关联,但物联网设备的威胁也随之跟随,经济和新型产业发展的同时需要重物 联网安全。
首先,通过图 3.16 可知,国内异常物联网设备的主要行为是 DDoS 攻击和僵尸网络通信。其次, 以省份维度划分,异常物联网设备所在省份全国排名前五为江苏、广东、浙江、山东和福建。图 3.17 中出现的省份异常物联网设备数量均超过 1000 个。通过对 3.3.3 节中的图 3.15 可以发现,台湾省作为 物联网设备总量第一大省,但是异常物联网设备数量却并不多,从数据的角度可做出这样的两种假设:
- 台湾的物联网设备安全性较好,因此没有发生大规模的异常行为。
- 部署在台湾的恶意数据收集探针较少。 接下来通过设备进行的攻击类型和所在省份进行分析,结果如下图所示:
由图 3.18 可知,广东省的异常物联网设备在 DDoS 攻击、僵尸网络通信和恶意挖矿方面的异常行 为数量在全国省份中最高,江苏省的异常物联网设备在安全漏洞利用、扫描探测和发送垃圾邮件方面的 异常行为数量在全国中最高。
异常物联网设备数量最多的省份前三名是江苏、广东和浙江,因此接下来将对广东、江苏和浙江的 物联网设备类型和异常攻击类型进行详细分析。
通过对图 3.19 江苏、广东和浙江的物联网设备异常行为分析可知,虽然江苏在漏洞利用、扫描探 测和发送垃圾邮件方面是全国最高,但在江苏省内的发生最多的异常行为是 DDoS攻击和僵尸网络通信。
从图 3.20 江苏、广东和浙江异常物联网设备的类型可知,三个省份主要的异常物联网设备是摄像 头和路由器,均占本省的异常设备总数的 90% 以上。广东和浙江摄像头和路由器甚至占本省的 98%。
综上所述,作为国内 GDP大省的台湾、江苏、广东、山东和浙江拥有的物联网设备是全国的前五名, 异常物联网设备前五名分别为江苏、广东、浙江、山东和福建。国内物联网设备主要的行为是 DDoS 攻 击恶意行为和僵尸网络通信异常行为,该两类行为以广东和江苏最显著,其他几类异常行为江苏为主, 但江苏省内进行的主要行为仍是 DDoS 攻击恶意行为和僵尸网络通信异常行为。
物联网恶意家族分析
物联网设备上运行的软件多使用开源框架和开源代码,存在大量安全漏洞。从最初的弱口令漏洞到 后续的 HTTP 服务类漏洞,跨站请求类漏洞,Memcached,ThinkPHP 框架等等,因此存在各个家族的 多变且活跃的变种。
我们发现物联网恶意代码的家族趋向于一致性,目前捕获物联网恶意样本以 Mirai 和 Gafgyt 家族为 主。这些家族的变种大都使用已有的漏洞攻击代码,因此可以攻击者大多数可能是工具使用者,而非代 码开发者。
我们从捕获的数据进行分析可知,物联网中的僵尸网络开始服务化,集中化,基本形成托管制度, 绝大部分攻击者无需自己构建僵尸网络,通过购买 DDoS 服务即可完成攻击。而服务提供者在不断的改进感染代码,增加漏洞利用方式,以获取更大量的僵尸网络主机,从而提供更大带宽的攻击服务。
目前本章已知的专注于攻击物联网恶意代码家族主要包括以下几个: Gafgyt(Qbot),XorDDoS, billgates,Mirai 及其变种(satori、Hijime 等),Tsunami,mayday 等。
物联网恶意家族的样本维度分析
我们对 2018 年从威胁捕获系统中捕获的物联网恶意家族的样本数量进行分析,如图 3.22 所示;又 对 NTI和 VirusTotal 的情报系统中的恶意家族的样本数量进行分析,如图 3.23 所示。虽然两张图的数 据源不同,但均表明 Gafgyt 家族和 Mirai家族的样本总和均为前两名,因此物联网恶意家族趋向一致性。 主要原因为 Mirai 家族和 Gafgyt 家族的源码已经公布,可以随意进行修改,这些家族变种的修改部分主 要集中于 C&C地址和攻击方式。而这正是“工具党”最显著的特征之一,可见大多数攻击者为工具使用者。
此外,本小节对监测到的物联网设备被攻击端口进行分析,如图 3.24 所示。可见 70% 以上的攻击 都是针对 23 端口和 445 端口:23 端口是 Telnet 登陆端口,常见的攻击为弱口令爆破攻击;445 端口 为 SMB(Server Message Block)服务,该端口一般是受到永恒之蓝漏洞的攻击,而这两个漏洞攻击, 在 Mirai 和 Gafgyt 中非常常见,这也与前述推断相符合。
通过捕获到的数据分析可知,物联网中的僵尸网络开始服务化,集中化,基本形成托管制度,绝大 部分攻击者无需自己构建僵尸网络,通过购买 DDoS 服务即可完成攻击,而服务提供者在不断的改进感染代码,增加漏洞利用方式,以获取更大量的僵尸网络主机,从而提供更大带宽的攻击服务。
物联网恶意家族的攻击维度分析
3.4.1 节是对家族的样本数量进行分析,本小节主要对进行过 DDoS 攻击的物联网设备进行分析。
对异常物联网集合数据的家族维度进行分析发现,已验证僵尸主机家族属性的异常物联网设备数量为 6 万左右。将僵尸主机的网络地址与异常物联网数据进行关联,分析这些僵尸主机的月份存活量、主要家 族和异常行为。月份存活量,是指僵尸主机在当月进行过 DDoS 攻击,文中其他地方出现则不再赘述。
观察 7: 当前僵尸主机家族规模前两名是 Gafgyt 家族和 XorDDoS家族,其中通过月份可知在 2018 年 6 月异常物联网僵尸主机存活量最多,Gafgyt 家族进行的 DDoS 攻击主要以路由器和摄像头为主, XorDDoS家族进行的 DDoS 攻击以摄像头为主。
Gafgyt XorDDoS BillGates Mirai chinaz 家族名称
通过对 6 万僵尸主机的月份存活量进行分析可发现,2018 年 6 月份进行过 DDoS 攻击的僵尸主机 数量最多,当前僵尸主机家族规模的前两名为 Gafgyt 和 XorDDoS家族,前五的家族还包括 BillGates、 Mirai 和 chinaz 家族。接下来将对 Gafgyt 家族和 XorDDoS家族的僵尸主机的月份存活量进行分析。
通过图 3.27 和图 3.28 可知,2018 年 6 月份 Gafgyt 家族和 XorDDoS家族控制的僵尸主机月份存活 量非常多。在僵尸主机月份存活量中可知,2018 年 6 月份进行过 DDoS攻击的僵尸主机为 1.2 万左右, 然而在 Gafgyt 家族和 XorDDoS家族 6 月份存活量总和为 0.9 万左右,占当月全部存活量的 77%,由此 可见,2018 年 6 月份进行的 DDoS 攻击主要以 Gafgyt 家族和 XorDDoS家族为主。接下来又对 Gafgyt 家族和 XorDDoS家族所控制的物联网设备类型进行分析给出相应结论。
由图可知,Gafgyt 家族控制的异常物联网设备主要为路由器、摄像头和 VoIP电话,这三类物联网 设备占所有设备的 99%。XorDDoS 家族控制的异常物联网设备主要为摄像头、路由器和 VoIP电话。因 此两个家族所控制的物联网设备类型大致相同,但是 Gafgyt 家族控制的的是路由器和摄像头是一个量 级的,XorDDoS 家族则偏重于摄像头。
2642
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
