针对 Telnet 协议的威胁观察

物联网

协议威胁观察本节我们选取了三个被攻击利用较多的协议进行分析。
6.1.2.1 针对 Telnet 协议的威胁观察

在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23)是被攻击者攻击最多的 源 12 万个。图 6.3 为 2019 年 3 月到 10 月的攻击源的活跃情况。从中可以看出, 月增加,8 月活跃的攻击源最多,数量高达 6 万多个,其中弱口令探测行为有 本下载的行为最多,高达 4 万多个。整体来看,后半年攻击源的数量有所减少。
[^1] 。我们共发现攻击 Telnet 的利用情况逐
5 万多个;另外,6 月样

7000
0 45004118
3366 61526 4000 60000
54779 53347 3500 50000
40730 3000 40000 34045 47840 2500
30000 24975 35196 30701 2000 24619
29694 1324 23237 1500 20000 11622 22921 1947 1254
1000 10582 16890
10000 817 831 500
482
0 0
3月 4月 5月 6月 7月 8月 9月 10月
所有攻击源 弱口令探测攻击源 样本下载攻击源
图 6.3 Telnet 攻击源的活跃情况
我们从地理位置维度对攻击源进行分析,得到攻击源所在的国家 Top 10,如图 6.4 所示,可见处于 中国和美国的攻击源最多。
越南 韩国 法国 印度 3% 3% 2%
3%
俄罗斯 4%
埃及 4%
其他 巴西
40% 7%
美国 11%
中国 23%
图 6.4 Telnet 攻击源国家分布情况
通过与绿盟威胁情报中心(NTI)中的资产情报数据相关联,我们发现这些攻击源有 29% 为物联网 设备。如图 6.5 所示,主要设备类型是频监控设备和路由器
,分别占比 47% 和 42%。由此可见

频监控设备和路由器是最容易被攻击源入侵控制的物联网设备。
VoIP设备 路由器 5%
42%
打印机
5%其他 视频监控设备 1%
47%
图 6.5 Telnet 攻击源设备类型分布
弱口令爆破是攻击者攻击 Telnet 的主要方式,因此我们重点对弱口令的利用情况进行了分析,发现 很多物联网设备都是被爆破弱口令攻击后成为受控失陷主机的。爆破弱口令 Top10 如表 6.2 所示,其中, root-vizxv 曾被曝过可以直接登陆某安防监控设备后台,root-t0talc0ntr0l4! 是 Control4 智能家居
设备的 默认凭证,root-taZz@23495859 是 Mirai 变种“Asher”用来感染路由器最常用的弱口令之一。表 6.2 Telnet 爆破弱口令 Top 10

排名弱口令使用次数
1root-admin12,291,162
2root-7,838,125
3root-default2,096,372
4root-vizxv1,865,957
5root-xc35511,749,530
6root-t0talc0ntr0l4!1,380,050
7root-taZz@234958591,050,663
8root-1001chin775,692
9root-ttnet621,732
10root-linuxshell575,180

6.1.2.2 针对 WS-Discovery 协议的威胁观察
WS-Discovery(Web Services Dynamic Discovery)是一种局域网内的服务发现多播协议,但是因 为设备厂商的设计不当,当一个正常的 IP 地址发送服务发现报文时,设备也会对其进行回应,加之设 备暴露在互联网上,则可被攻击者用于 DDoS 反射攻击。今年 2 月,百度的安全研究人员 1 发布了一篇 关于 WS-Discovery 反射攻击 2 的文章。这是我们发现的关于 WS-Discovery 反射攻击的最早的新闻报道。 ZDNet 的文章 3 中提到,今年 5 月也出现过利用 WS-Discovery 的反射攻击,到今年 8 月的时候,有多 个组织开始采用这种攻击方式。Akamai 4 提到有游戏行业的客户受到峰值为 35 Gbps 的 WS-Discovery 反射攻击。
全球有约 91 万个 IP 开放了 WS-Discovery 服务,存在被利用进行 DDoS 攻击的风险,其中有约 73 万是视频监控设备,约占总量的 80%。
网络存储设备
10.8%
打印机 4.5%
视频监控设备
79.5%
不确定 5.2%
图 6.6 开放 WS-Discovery 服务的设备类型分布情况
图 6.7 是开放 WS-Discovery 服务的设备国家分布情况,从中可以看出,开放 WS-Discovery 服务的 设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。
1  基于 ONVIF协议的物联网设备参与 DDoS 反射攻击 , https://www.freebuf.com/articles/system/196186.html
2  原文中的表述是 ONVIF反射攻击,但我们经过分析后发现除 ONVIF设备外,打印机等也有可能参与其中。ONVIF在设备发现阶段
是基于 WS-Discovery 协议进行通信的。从反射攻击的角度来看,攻击者并非只针对 ONVIF设备。虽然百度并没有提 WS-Discovery 反射攻击,但我们认为这是对于 WS-Discovery 反射攻击的首次报道。
3 Protocol used by 630,000 devices can be abused for devastating DDoS attacks, https://www.zdnet.com/article/protocol-used-by-
630000-devices-can-be-abused-for-devastating-DDoS-attacks/
4 NEW DDOS VECTOR OBSERVED IN THE WILD: WSD ATTACKS HITTING 35/GBPS, https://blogs.akamai.com/sitr/2019/09/new-
DDoS-vector-observed-in-the-wild-wsd-attacks-hitting-35gbps.html

意大利 法国 波兰 墨西哥
1% 2% 2% 2% 阿根廷 土耳其 2% 1%
罗马尼亚
3%
俄罗斯 3%
其他 哥伦比亚 27% 3%
韩国
印度 8%
中国 5% 14% 美国
9%
越南 巴西
10% 9%
图 6.7 开放 WS-Discovery 服务的设备国家分布情况
我们对绿盟威胁捕获系统捕获的攻击事件进行了分析,如图 6.8 所示,这里我们将一天内一个独 立 IP 相关的事件看作一次攻击事件,攻击事件的数量我们将以天为单位进行呈现。直观来看,WS- Discovery 反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速。这说明 WS-Discovery 反 射攻击已经逐渐开始被攻击作为一种用于 DDoS 攻击的常规武器,需要引起相关如安全厂商、服务提供 商、运营商等机构足够的重视。
35
30
25
20
15
10 事件数量(个)
5 0
8/2 8/4 8/6 8/8 9/1 9/3 9/5 9/7 9/9
7/257/277/297/31 8/108/128/148/168/188/208/228/248/268/288/30 9/129/149/169/189/20
日期 攻击事件
图 6.8 WS-Discovery 反射攻击事件变化情况

WS-Discovery 反射攻击的受害者国家分布情况如图 6.9 所示,我们观察到共有 24 个国家和地区受 到过攻击。从图中可以看出,中国是受害最严重的国家,其占全部受害者 IP的 33%;排在第二位的是美国, 占比为 21%。
加拿大
2%
巴西
2% 其它
印度 13%
3% 中国 法国 33%
5%
英国
6% 美国 德国 21%
8%
菲律宾
7%
图 6.9 WS-Discovery 反射攻击受害者的国家分布
6.1.2.3 针对 UPnP 协议的威胁分析
UPnP 是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,从而 使网络(尤其是家庭网络)对更多的人成为可能。因此,很多路由器都开放了 UPnP 服务。在 UPnP 协 议栈中,使用 SSDP 协议进行局域网内设备发现,使用 SOAP协议进行设备控制。更多关于 UPnP 基础 知识、脆弱性的介绍可以参看绿盟科技《2018 物联网安全年报》1 。
设备开放 UPnP SSDP 服务暴露数量最多的五个国家是中国、韩国、委内瑞拉、美国与日本,同时 我们发现俄罗斯的暴露数量相比去年下降了 84%,推测俄罗斯的相关部门推动了对于 UPnP 的治理行动。
1 2018 物联网安全年报,http://www.nsfocus.com.cn/content/details_62_2916.html

600000 500000 400000 300000 200000 100000
0
中国 其他 韩国 美国 日本 越南 巴西 希腊 印度 加拿大俄罗斯 乌克兰 阿根廷 意大利
委内瑞拉 哥伦比亚
阿尔及利亚
2018年12月 2019年10月
图 6.10 开放 SSDP 服务设备的国家分布情况
SOAP服务可访问的设备占 UPnP 设备总量的 46.9%,这些设备中,61% 的设备存在中危及以上的 漏洞,攻击者可以通过漏洞获取对这些设备的完全控制权,或利用漏洞发动攻击使设备崩溃。
100% 1400000
90%
1200000
80%
70% 1000000
60%
800000
50%
40% 600000 设备总数量 30% 400000
SOAP可访问设备占比
20%
200000
10%
0% 0
IGD
libupnpAltiDLNA Realtek Net OS SmartICTDLNADOC Synology
miniupnpdBroadcom Unspecified
UPnP devices
SOAP可访问 SOAP不可访问 设备数量
图 6.11 UPnP 设备各 SDK设备可访问性统计

在开放端口映射的约 39 万台设备中,总共有 6.3 万台设备中发现了一种以上的恶意行为,部分设 备受到多种恶意行为入侵,其中约 4.5 万台设备中发现了内网入侵行为,约 3 万台设备中发现了恶意代 理行为。图 6.12 列出了设备量最多的几个国家的设备数量对比与恶意行为的感染占比。中国的服务暴 露总量和受感染的设备数量均居首位。
30000 90000
80000
25000
70000
20000 60000
50000
15000
40000
10000 30000
IP数量(有映射) 20000 IP数量(无映射)
5000
10000
0 0
中国 韩国 美国 越南 巴西 日本 印度 阿根廷 意大利 俄罗斯
哥伦比亚
未感染 已感染 无映射
图 6.12 暴露端口映射设备恶意行为感染情况国家分布
我们共捕获到 4 种针对 UPnP 漏洞的利用行为 1 ,如表 6.3 所示。从中可以看出,这些漏洞均为远 程命令执行类漏洞。另外我们也发现,当漏洞出现在特定端口时,攻击者一般不会经过 UPnP 的发现阶 段,而是会选择直接对该特定端口进行攻击。
1 需要说明的是,由于 UPnP 的 SOAP服务端口众多,而 SSDP 服务中只能标识一个 SOAP端口,因此,我们主要是对 SOAP相关端
口进行了监听。如果攻击者首先进行 SSDP 服务发现,再根据服务发现内容决定下一步是否要进行攻击,我们则可能无法对其进行 捕获。

59

表 6.3 UPnP 漏洞利用情况(按源 IP 去重排序)

Exploit-DB 编号漏洞公开年份CVE编号漏洞描述
434142017CVE-2017-17215Huawei Router HG532 - Arbitrary Command Execution
371692014CVE-2014-8361Realtek SDK - Miniigd UPnP SOAP Command Execution
371712015CVE-2015-2051D-Link Devices - HNAP SOAPAction-Header Command Execution
283332013N/AD-Link Devices - UPnP SOAP TelnetD Command Execution
对 UPnP 日志中的源 IP 去重之后,我们发现对 UPnP 漏洞进行过利用的 IP 约占所有 IP 的 29.6%。 我们对去重之后的源 IP 的国家分布进行了分析,从图 6.13 中可以看出, 位于中国的攻击源最多。更进 一步我们发现,来自中国攻击行为的 90% 位于自台湾省,中国大陆地区的攻击源量级与俄罗斯、美国 等国家的量级相当。
英国 乌克兰 印度 巴西 土耳其 越南 阿根廷 美国 俄罗斯 中国
1 10 100 1000 10000 100000
图 6.13 UPnP 类日志攻击源 IP 的国家分布情况

参考资料

绿盟 2019年网络安全观察

友情链接

绿盟 WordPress display-widgets 插件后门漏洞分析

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值