物联网僵尸网络再次发起大规模攻击

执行摘要

随着物联网的不断发展，物联网安全也被越来越多的人所关注。我们于 2016 年发布《物联网安全 白皮书》，进行物联网安全的科普介绍；于 2017 年发布《2017 物联网安全年报
》，关注物联网资产 在互联网上的暴露情况、物联网设备脆弱性以及相关风险威胁分析；于 2018 年发布《2018 物联网安 全年报》，关注物联网资产在互联网上的实际暴露情况，通过将物联网资产与威胁情报相关联，得到其 面临威胁的整体情况，并重点对物联网应用中常见的 UPnP 协议栈的安全性进行了分析。2019 年，我 们继续深入研究物联网资产、风险和威胁：在物联网资产测绘方面，我们更新了 IPv4 网络中物联网资 产的实际暴露数据，此外还研究了 IPv6 网络中的物联网资产暴露情况；在威胁分析方面，我们分别从 漏洞利用和协议利用两个角度，对捕获到的相关物联网威胁事件和威胁源进行了分析。最后，我们给出 了以物联网终端为核心的物联网终端安全防护解决方案。报告中的主要内容如下：

1. 本文对 2019 年的重大物联网
   安全事件进行了回顾。委内瑞拉的停电事件、物联网僵尸网络和 勒索软件大规模攻击事件、波音系统被爆出严重漏洞，这几个事件均表明当前物联网安全形势 依然严峻；D-Link终端更新问题说明大批量已经不再更新维护的终端如果不经过有效治理，将 长期存在脆弱性和风险；黑客能接管数十个僵尸网络也说明可以从技术上通过攻击僵尸网络的 方式，以攻代守，进而治理僵尸网络；众多的安全事件表明，安全风险的源头均指向了脆弱的 物联网终端，可能是考虑到物联网终端安全形势严峻，美国和日本在 2019 年颁布了法令和政 策以对物联网终端进行治理。1. 如果使用历史数据来描绘暴露资产情况，会导致统计结果要高于实际暴露数量。《2018 物联网 安全年报》中，我们对物联网资产的网络地址变化情况进行了分析，得到了物联网资产的实际 暴露情况，本文对去年的数据进行了更新。国内来看，暴露设备类型最多的是摄像头，其次是 路由器
   ，台湾省暴露的物联网资产最多，约占国内总量的 30%。1. 随着物联网应用的蓬勃发展、IPv4 地址的耗尽，IPv6 普及已成必然趋势，IPv6 网络上暴露的物 联网资产将成为攻击者的重点目标，所以能够对 IPv6 资产和服务做准确的测绘，对于网络安全 具有着重要的意义。我们对 IPv6 扫描方法进行了介绍，并对我们已经找到的物联网 IPv6 资产 进行了分析，我们找到的暴露资产以 IP 电话和频监控设备为主，虽然相比于 IPv4 暴露的数
   量并不多，但相信随着 IPv6 的普及，必将会有大量物联网资产暴露出来，需要引起相关机构的 重视。
2. 在绿盟威胁捕获系统中，我们共捕获到 30 余种针对物联网漏洞的利用行为，其中以远程命令 执行类漏洞居多。这也说明了，从公网物联网安全态势的角度来讲，虽然每年都会有几百到几 千不等的物联网漏洞被公开，但是真正能够造成大范围影响的漏洞并不多。另外我们发现，已 经捕获的漏洞利用所对应目标设备以路由器和频监控设备为主，这也与互联网上暴露的物联 网设备主要为路由器和视频监控设备一致，说明攻击者偏向于对暴露数量较多的设备进行攻击， 从而扩大其影响范围。
3. 本文对一些重点和高危物联网服务进行了分析，包括 Telnet、WS-Discovery 和 UPnP。整体来看， 前半年对于 Telnet 服务的利用情况逐月增加，在 8 月份活跃的攻击者最多，直到后半年攻击者 的数量才有所减少。通过对攻击者的弱口令分析，可以得出攻击者主要还是以攻击开放 Telnet 服务的物联网设备为主的结论。自 WS-Discovery 反射攻击在 2019 年 2 月被百度安全研究人员 披露以来，下半年利用 WS-Discovery 进行反射攻击的事件明显增多。绿盟威胁捕获系统捕获 的 WS-Discovery 反射攻击事件从 8 月中旬开始呈现上升趋势，9 月份之后增长快速，需要引起 安全厂商、服务提供商、运营商等相关机构足够的重。 UPnP 服务的暴露数量较去年减少约 22%，但依旧在两百万量级，其带来的风险不容小觑。从国家分布来看，俄罗斯的暴露数量变 化最为明显，相比去年下降了 84%，因此，我们推测俄罗斯安全相关部门推动了对于 UPnP 的 治理行为。这也在一定程度上反应出物联网威胁正在从监测走向治理。
4. 本文对面向物联网终端的安全防护机制进行了介绍，包括物联网终端的信息保护和物联网终端 的异常分析。终端的安全得到保障，整个物联网的安全将有一个坚实的基石，其在认证、加密、 取证等各方面的需求将一步一步在各个环节得到保障。作为安全厂商，需要不断地和终端厂商 合作，一致解决终端的安全问题，强化云端的安全分析能力，为物联网安全保驾护航。
   总体来说，物联网安全形势依旧严峻，物联网安全防护任重道远，国家、企业和公民均需要不断努力， 从而降低物联网所面临的风险。国家层面，政府、立法机构等相关部门需要逐步完善物联网安全方面的 法规、政策，以推动物联网生态的安全建设；企业应不断加强人员、设备的管理规范，甚至需要付出成 本以降低 DDoS、勒索软件带来的损失；公民需要加强安全意识，购买相关的产品时需要考虑设备的安 全性可能给自己带来的损失，在力所能及的情况下，了解已购设备的配置项，降低因配置不当带来的风
   险。由于攻击者偏向于攻击暴露数量较多的存在漏洞的设备，从治理的角度来讲，应将对互联网上暴露 数量较多的设备的治理放在优先级较高的位置。
   最后，我们有如下预测：
   物联网资产暴露数量依旧很多，针对物联网资产的漏洞利用层出不穷，政府相关部门、电信运营商、 安全公司和用户的联动将会越来越多地出现在对于物联网风险的治理上。
   类似 WS-Discovery 反射攻击这种利用物联网资产进行攻击的新型攻击方法将会随着物联网设备的 增多而不断出现，暴露数量多并且之前并未引起足够关注的物联网资产需要重点关注。
   虽然 IPv6 地址也存在动态变化的情况，但随着 IPv6 的大力推广，我们已发现的 IPv6 环境下的物联 网资产只是冰山一角，会有更多的物联网资产暴露出来，未来将会出现更多 IPv6 环境下利用物联网资 产的攻击事件。
   \1. 2019 年重大物联网安全事件回顾

年重大物联网安全事件回顾

随着 CVE漏洞的披露数量逐年增加，黑客发起的攻击行为也在逐年增加。2019 年 10 月 15 日，卡 巴斯基检测到，2019 年上半年针对物联网终端的攻击数量比 2018 年上半年增长了 9 倍 [1]。2019 年， 在大小不一的 323 起物联网相关的安全事件中，发动 DDoS、勒索软件攻击等活动的事件达到了 69 起， 占总数的 21.3%。从这两年的物联网安全事件 [2] 中也能明显体会到，物联网中暴露的安全问题已经严重 威胁到个人、企业甚至国家的安全。相比 2018 年，在 2019 年日本和美国采取相应的政策，甚至颁布 法令来促进物联网终端的安全建设，以应对日益严重的物联网安全形势。
本章列举了 2019 年比较重大的物联网安全事件，通过回顾相关的安全事件，读者可了解到当前的 物联网安全形势 ¹。
观点 1：2019 年，基于物联网终端的攻击事件频发，大规模攻击不时见诸报端。由于物联网终端 的更新维护非常困难，可预见相关攻击事件会长期存在。相比 2018 年，美日中在政策和法律法规层面 对终端安全愈加重视。

委内瑞拉和纽约的大规模停电事件

事件回顾

从 2019 年 3 月 7 日傍晚（当地时间）开始，委内瑞拉国内，包括首都加拉加斯在内的大部分地区， 持续停电超过 24 小时 [6]。在委内瑞拉 23 个州中，一度有 20 个州全面停电。停电导致加拉加斯地铁无 法运行，造成大规模交通拥堵，学校、医院、工厂、机场等都受到严重影响，手机和网络也无法正常使用。
2019 年 3 月 11 日晚，委内瑞拉总统马杜罗表示电力系统遭遇了三阶段攻击。第一阶段是发动网络 攻击，主要针对西蒙 • 玻利瓦尔水电站，即国家电力公司（CORPOELEC）位于玻利瓦尔州古里水电站 的计算机系统中枢，以及连接到加拉加斯（首都）控制中枢发动网络攻击；第二阶段是发动电磁攻击， “通过移动设备中断和逆转恢复过程”；第三阶段是“通过燃烧和爆炸”对米兰达州 Alto Prado 变电站 进行破坏，进一步瘫痪了加拉加斯的所有电力。图 1.1 是当时委内瑞拉发生三次断电的电力走势图 [7]：
图 1.1 委内瑞拉发生三次断电的电力走势图
委内瑞拉导致如此大规模停电的真正原因仍然不能确定。从内因看，委内瑞拉电力基础设施薄弱， 设备维护不到位，技术人员水平低下，工业控制系统防护不足等因素，都是影响电厂稳定工作的巨大隐 患，尤其电能关系着人们生活、生产、医疗等方方面面，一旦出现问题将会给整个国家带来不可估量的 损失 [7]。但本事件背后也有可能存在外因，反映出的是国家之间的对抗，地缘政治导致网络空间冲突。 马杜罗 3 月 12 日再次透露，攻击的源头来自休斯顿和芝加哥，很可能是在五角大楼的命令下，由美军 南方司令部直接发动的此次攻击。
就在委内瑞拉停电事件后的四个月，2019 年 7 月 13 日傍晚 6 时 47 分 [8]，美国纽约曼哈顿中城与 上西区也发生大规模停电，曼哈顿中心地带的时代广场、地铁站、电影院、百老汇等大片区域陷入黑暗， 最严重时大约有 73000 用户受到影响。巧合的是在 42 年前的同一天（1977 年 7 月 13 日），纽约也同 样发生了严重的大规模停电，导致当时在混乱中发生了 1000 多起纵火案和 1600 多家商店遭到洗劫， 损失超过 3 亿美元。如此诡异的巧合，让此次停电的原因“扑朔迷离”。有人认为这是一起网络攻击， 有人认为是蓄谋已久的恐怖袭击，也有人将其定义为“伊朗对美国的报复”等等。不过，随着纽约市长 白思豪（Bill de Blasio）在媒体发布会上讲话，停电的真正原因是某变压器起火。虽然，这次纽约停电 不是一场人为恶意攻击，但同样为基础设施的安全性敲响警钟。

小结

乌克兰电厂攻击事件之后，全国大范围断电的桥段又在委内瑞拉和纽约上演。电力系统作为国家重 要基础设施，关乎民生，更关乎国家安全。这几起电力领域的安全事件反映出传统工控系统接入互联网 时存在的重大安全隐患，同样也说明以物联网、工业互联网为支撑技术的关键基础信息系统已经成为了 海陆空天外国家间对抗的重要战场。强化物联网设施和应用的防御和应急响应能力，保障国家安全，刻 不容缓。

受远程代码执行问题影响的路由器将不会被修复

事件回顾

2019 年 9 月，网络安全公司 Fortinet 的 FortiGuard 实验室在 D-Link产品中发现了一个未经身份验 证的远程执行代码漏洞 [10]，许多 D-Link产品，包括但不限于 DIR-655C，DIR-866L，DIR-652 和 DHP- 1565，均受该漏洞的影响 [11]。FortiGuard 于 9 月 22 日向厂商报告了 D-Link漏洞，次日厂商承认了该 漏洞的存在，但 9 月 25 日厂商声明该产品已停产，因此不会发布补丁，最终 10 月 3 日厂商公开发布 该问题并发布了通报。
目前，D-Link 于 2019 年 11 月 19 日更新了公关声明，表示 DIR-866，DIR-655，DHP-1565，DIR- 652，DAP-1533，DGL-5500，DIR-130，DIR-330，DIR-615，DIR-825，DIR-835 ，DIR-855L 和 DIR- 862 都具备潜在的漏洞，但因为产品已达到寿命终止的状态，D-Link将不再为其提供更新以解决漏洞问
题。

原理简述

一些 D-Link路由器包含的 CGI功能以 /apply_sec.cgi 的形式向用户公开 [12]，并由二进制文件 / www/cgi/ssi 分发到设备上。通过对易受攻击的路由器的 /apply_sec.cgi 页执行 HTTP POST 请求，远 程未经身份验证的攻击者可能能够在受影响的设备上以 root 特权执行命令，此 CGI代码包含两个缺陷：

1. 该 /apply_sec.cgi 代码暴露在未经授权的用户。
2. ping_test 操作的 ping_ipaddr 参数无法正确处理换行符

小结

物联网设备通常具备非常久的使用周期，因此互联网中暴露着很多已经停产、官方不提供软件更新 的设备。厂商不提供更新，漏洞没有被修复，意味着这种设备一旦暴露，极有可能成为僵尸主机，被用 于 DDoS 等攻击行为，物联网僵尸网络经久不衰，物联网安全事件频发，与大量“孤老”的物联网设备 不无关系，这种现象也是物联网安全治理面临的一个巨大的挑战。

物联网僵尸网络再次发起大规模攻击

事件回顾

2019 年 7 月 24 日，网络安全公司 Imperva 公司表示，他们一个娱乐行业的 CDN客户在 2019 年 四月至五月期间受到了大规模 DDoS攻击 [13]。该攻击针对站点的身份验证组件，由一个僵尸网络领导， 该僵尸网络协调了 402000 个不同的 IP，发动了持续 13 天的 DDoS 攻击，并达到了 29.2 万 RPS ¹ 的峰 值流量和每秒 5 亿个数据包的攻击峰值，这是 Imperva 迄今为止观察到最大的应用层 DDoS 攻击，如图 1.2 所示。
图 1.2 Mirai 僵尸网络攻击的峰值!

原理简述

Imperva 分析发现进行攻击的 IP 地址主要来源是巴西，攻击者使用了与其娱乐行业客户应用程序相 同的合法 User-Agent 来掩盖其攻击。一段时间内，攻击针对流应用程序的身份验证组件，由于不确定 攻击者的意图是暴力攻击还是 DDoS 攻击，导致没有准确的缓解机制。
最终，通过寻找攻击 IP 的共同点，Imperva 发现，大多数 IP 具有相同的开放端口：2000 和 7547，而根据网络安全博客 Recorded Future[14] 的说法，2000 端口通常为 MikroTik的带宽测试服务器 协议，所有被感染的 MikroTik设备均以打开 TCP 2000 端口。这表明 Imperva 发现的 DDoS攻击极有可 能与受 Mirai 恶意软件感染的物联网设备相关。

小结

相比传统的 PC 设备，物联网设备虽然通常性能较弱，但近年来，它们给物联网带来的威胁和损失 不容忽。类似基于 Mirai 的僵尸网络，正逐渐把物联网设备纳入其僵尸主机的范围，将其用于 DDoS 攻击，次数频繁，攻击峰值屡创新高。
自从 Mirai 源码 2016 年被公开后，出现了大量将各种新 CVE利用加入武器库以加速传播的 Mirai 变种。虽然距离 Mirai 的作者被捕已经过了两年，但基于 Mirai 源码的僵尸网络，非但没有减少，其规 模反而持续扩大，不断刷新 DDoS 攻击的带宽记录。我们分析出现该现象的原因首先是物联网设备有数 量多、分布广的特点，非常适合 DDoS的攻击场景；第二，摄像头、路由器等物联网设备通常生命周期长， 人机交互程度低，一旦被恶意软件攻陷，很长一段时间内难以被发现和清除，将成为顽固的僵尸主机； 最后，物联网设备不同于桌面机或服务器，没有杀毒软件等防护措施，更容易被攻陷。因此，多方面原 因综合导致物联网设备逐渐成为 DDoS攻击的主力，对 Mirai等物联网僵尸网络的治理，需要设备厂商、 运营商、用户等多方共同努力。

泄露代码暴露波音系统中存在多个漏洞

事件回顾

在 2019 年的 Black Hat 黑客大会 [15] 上，来自 IOActive的研究人员公布了波音 787 部分组件的安全 漏洞，研究人员声称利用这些漏洞可以对飞机的其他关键安全系统发送恶意指令，从而对飞机造成危害。 泄露的波音 787 代码来自位于波音公司网络中的一台未加固的服务器，于 2018 年被安全研究人员发现 的。
早在 2015 年，就有研究人员在乘坐联合航空的航班时 [16]，对机上系统总线进行渗透。该研究人员 通过自定义适配器连接到机上娱乐系统，并借此对飞行管理系统进行入侵。虽然后面的调查显示这位研 究人员并没有设法劫持或篡改飞行管理系统，但这起事件证明了针对飞机的入侵行为是可能的。

原理简述

研究人员发现，波音 787 客机的 CIS/MS （Crew Information Service/Maintenance System）组件中， 存在多个内存破坏漏洞，攻击者可以利用这些漏洞对波音客机的机身网络总线进行渗透，向机身的关键 系统（如引擎、刹车、传感器等）发送恶意指令，造成安全威胁。存在安全漏洞的 CIS/MS 组件位于飞 机的两路通讯总线的边界上，攻击者可以通过远程、物理等多种方式实现成功入侵。
本事件所涉及的主要组件采用了 VxWorks 系统，存在漏洞的二进制文件未开启 NX、调用栈保护等 防护措施，导致攻击者通过一个常见的内存漏洞就能够劫持程序执行。研究人员在 CIS/MS 组件中，发 现了数百个存在风险的函数引用，如未检验长度的字符串处理函数等。同时，此组件还存在一些常见的 二进制应用漏洞如缓冲区溢出、内存越界读写、整数溢出等。
研究人员公开了四个可供利用的漏洞，并将其组成了攻击链，以 TFTP 服务栈溢出获得执行权限， 继而通过 VxWorks 的内核漏洞提权，获得飞机内部网络的控制权。

小结

有相当数量的物联网系统和应用的开发者并没有安全编码的经验，有大量的物联网产品没有经过代 码审计、安全测试等流程，这也是物联网安全问题频发、物联网设备安全防护水平低下的重要原因之一。
嵌入式设备与 PC、智能手机的系统架构不同，安全机制与漏洞缓解措施相对更少，一个很小的脆 弱点就能够导致整个系统的安全性遭到破坏。与其他物联网设备一样，飞机中的信息和自动化系统同样 也会遭到攻击者的入侵。而飞机一旦被攻击者控制，很可能带来灾难性的后果，需要我们百分之二百的 谨慎。
从本事件得到的启发是，在开发的环节，团队应有良好的编程习惯与安全开发思想，在编译时开启 必要的防护措施，都能够大大降低漏洞风险。从维护的角度上，在整个系统的多个节点上部署防护措施， 实现纵深防御，也能够缓解系统单点被入侵后能够造成的损失。

的勒索软件疑屡次攻击工厂

事件回顾

2019 年 1 月 24 日，法国的 Altran Technologies 遭受了 LockerGoga 恶意攻击 [17]，2019 年 3 月 19 日， 全球最大铝生产商 Norsk Hydro 遭到黑客攻击，全球范围内的机器被恶意软件感染，导致部分机器无法 运转，工厂生产方式由自动化转为手动，大大降低了其生产效率。不仅是挪威的铝厂，其攻击手法疑似 LockerGoga。 2019 年 3 月 12 日，美国的两个化工厂 Hexion 和 Momentive 也遭受疑似 LockerGoga 勒索软件攻击 [18]。不到两个月，四家欧美工厂便遭受了勒索攻击，这种破坏型的勒索软件，给企业带 来了巨大的损失。2019 年 7 月 23 日 [19]，有报道称挪威铝厂的损失达到了 6350-7500 万美元，但具体 损失无法准确给出，因为用来计算收益的计算系统也被勒索软件入侵。

原理简述

LockerGoga 的特点在于：遭受它攻击的计算机系统将无法再次正常启动，具备很强的破性，。所 以挪威的铝厂才会损失高达数亿元。2019 年 4 月 11 日 [20]，瑞星对该勒索软件做了详细的分析，本节 简要介绍一下该勒索软件的攻击原理。
该勒索软件的运行效果分两个阶段：第一阶段把病毒程序复制到缓存目录 “C:\Users\ Administrator\AppData\Local\Temp”下；第二阶段扫描大量文档类、源码类的文件并用 AES加密， AES密钥是随机生成，公钥加密 AES密钥后，把加密的 AES密钥附加到文件末尾；当这两个阶段完成时， 一些系统文件已经被加密了，一些关键文件也就无法被操作系统和应用程序访问。如果此时重启系统，
系统将启动失败，如图 1.4 所示。
图 1.4 计算机系统被 LockerGoga 攻击后重启失败

参考资料

绿盟 2019物联网安全年报

友情链接

GB-T 37096-2018 信息安全技术 办公信息系统安全测试规范

---

1. 用 RPS 衡量应用层 DDoS 攻击的大小。
   图 1.3 通过 CIS/MS 组件飞机渗透内部网络的攻击链 ↩︎ ↩︎