殭尸物联网的成长与进化势必将带来混乱
根据创新扩散理论(diffusion of innovation),目前尚未跨越鸿沟到达物联网(iot)主流市场采纳(目前的部署数量为84亿,预测2020年将达200~300亿,2035年达到1兆)。被骇的iot装置试图跨越鸿沟到未来,未来应该是光明且自动化的,但如果不处理好威胁问题的话,未来愿景将无法实现。
f5 labs与其数据合作伙伴loryka一起追踪了两年的“猎杀iot”。主要围绕23端口telnet暴力攻击,因为它们是破坏物联网设备最简单、最常见危及物联网设备的安全的方式。从技术的角度来看,他们只需要在攻击计划中采取更多步骤,并且针对非标准端口和协议、特定制造商、设备类型或型号,就可以全面发动攻击。例如,至少有4,600万个家庭路由器容易受到攻击。我们已经目睹了攻击者正在演变他们的手段和目标市场,以便像合法企业和金融市场那样透过妥协的物联网设备来赚钱。
该研究也发现,有新的威胁网络和ip地址不断地加入物联网狩猎行列,成为新威胁参与者,并且随着时间的推移,已经演变为一致共存的顶级威胁参与者。它们可能使用受欢迎的网络如托管服务提供商,或电信网络中的住宅物联网设备,利用家庭路由器、无线ip摄影机和dv r透过telnet进行攻击,并发起ddos攻击。
1殭尸物联网的威胁持续存在
经过两年的数据分析后,仍然看到同样的威胁ip、网络和国家在发动攻击。这代表若不是恶意流量未被处理,否则就是遭感染的iot装置没有接受净化,要不然不会一再地看到相同的威胁者。这些攻击建立了强大的殭尸物联网,具备发动全球毁灭性攻击的能力,而安全产业也越来越频繁的发现它们,如图1所示。
▲ 图1 由物联网攻击机器人(thingbot)发起的前十五大攻击
因此,本期报告首度揭露这些攻击ip。非仅殭尸物联网被发现的频率增加,单是2018年1月就有四个新殭尸物联网,而且攻击者的攻击方法持续进化,除了telnet之外,还瞄准一些协议,为的是确保能够尽可能猎杀最多脆弱的iot装置,如图2所示。
▲图2 透过telnet实施的网络攻击
2telnet攻击构筑大规模殭尸物联网
尽管iot攻击已扩充至telnet以外的协议,不过telnet暴力攻击仍然是最普遍使用的手法,数量从2016到2017成长249%。2017年7~12月期间的攻击数量低于前六个月期,然而攻击层级则和mirai相当,而且比用来构筑mirai的数量还多,如图3所示。这个攻击数量足以构筑许多相当大规模的殭尸物联网,因此纵使数量减少,但并不表示攻击者兴趣减低或者威胁降低,而是因为过去已有如此众多telnet攻击,因此攻击者达到一个饱和点。telnet唾手可得的果实很容易被捡走。
▲图3 2016年1月至2017年12月每季telnet攻击统计
若以过去两年的telnet攻击活动和telnet殭尸物联网被发现的时候做比较,就可以从数据看出安全研究人员总是比攻击者落后数个月(若非数年的话)。已报导的telnet攻击,至少已建构九个相当大的殭尸物联网,而且还有空间可建构更多殭尸物联网,只是目前尚未发现(图4)。
▲图4 来自thingbot的telnet攻击统计
3mirai殭尸物联网正在增长
已知的殭尸物联网例如mirai和persirai(透过telnet攻击)尽管大家普遍知道它们的存在和威胁,但仍继续成长。从2017年6月到12月,mirai在拉丁美洲显著成长,而在美国、加拿大、欧洲、中东、非洲、亚洲和澳洲也都呈现中度成长,如图5所示。
▲图5 2017年12月全球mirai殭尸物联网分布图
4依照地区区分攻击来源和目标
中国、美国和俄罗斯是三大攻击国。在这段期间,44%攻击源自中国,另外44%源自十大攻击国的第2到第10排名国家,每一个国家占总数量的10%以下。其余22%源自一些流量少于1%的数个国家,如图6所示。
▲图6 前十名攻击来源国家
没有特别突出的iot攻击目标国,因为脆弱的iot装置无差别地部署在全球。没有任何国家拥有一个未遭受攻击的安全iot部署。在报告的六个月期间,最常遭受攻击的国家为美国、新加坡、西班牙和匈牙利,如图7所示。
▲图7 前十名最常遭受攻击的国家
5依产业区分攻击
在这段期间,前五十大攻击自治系统编号(asn)有80%属于电信或isp公司,那正是iot装置驻留的地方(相较于主机代管公司的服务器)。若要让iot发动攻击,就必须骇入这些装置。
6威胁的下一步?
物联网装置由于安全性很差而且实行全球规模的广泛部署,因此必须将它们视为一种迫切的威胁。十年来,它们不但已被骇并且继续被当成攻击的武器,而我们甚至还没有迈入iot的大量消费者采纳阶段。如果不开始着手处理这个问题,可以确定的是,未来将会很混乱。iot安全性必须靠个人、政府和制造商共同维护,包括全球网民应该做的事、企业和政府(他们都建置iot并遭受iot攻击)应该做的事、以及iot制造商应该结合到产品开发生命周期的措施,详如表1。
7将威胁映像到活动主题
殭尸物联网是利用被骇的iot装置建构而成,它和传统殭尸网络不同的地方在于修复能力。物联网装置典型上都属于非管理型的装置。一个遭入侵的iot装置被其所有者发现并予以修复的机会相当低,这正是为什么过了二年还会看到相同的攻击装置。恶名昭彰的mirai也因为如此,不但没有被毁灭,反而继续成长。殭尸物联网可以发动一如传统殭尸网络所能的任何攻击,而且因为它们的规模而更具危害性。这些陈述和殭尸物联网数据,可使用于任何讨论殭尸网络流量与攻击的主题活动。
表1 iot安全性须由所有人共同维护
全球领先的照明品牌昕诺飞也开始对我国市场上的产品进行调价
E拆解:5G手机比4G贵在哪里?拆解iQOO Pro 5G告诉你
继电器在充电桩中的应用是怎样的
如何在OpenMP中使用嵌套
智慧城市和边缘计算之间的关系是什么
殭尸物联网的成长与进化势必将带来混乱
钛合PPM系列称重传感器的简单介绍
立柱机器人各种箱装袋装物料码垛,应用广泛快速方便整齐
DC-DC降压芯片4.5V-55V转5V0.2-1A电源芯片AH8663
高通一家独大的市场局面将面临洗牌
车企Q3财报:赔到腿抖或数钱到手软
工业智能网关应用:工业大吊扇能耗采集监控解决方案
Cisco配置静态路由
大功率电源系统的电源转换及稳压级需要纤薄的平面封装?
圣诞节即将来临,这些蓝牙耳机已经做好准备了
运算放大器和电压比较器的区别
C-V2X迎规模落地,为车辆智能化时代保驾护
华为PTN910时钟接口指标_参数及特点介绍
SM4A20T系列低压线性恒流灯带IC最新升级版方案应用
利用智能交通让救护车“一路绿灯”
f5 labs与其数据合作伙伴loryka一起追踪了两年的“猎杀iot”。主要围绕23端口telnet暴力攻击,因为它们是破坏物联网设备最简单、最常见危及物联网设备的安全的方式。从技术的角度来看,他们只需要在攻击计划中采取更多步骤,并且针对非标准端口和协议、特定制造商、设备类型或型号,就可以全面发动攻击。例如,至少有4,600万个家庭路由器容易受到攻击。我们已经目睹了攻击者正在演变他们的手段和目标市场,以便像合法企业和金融市场那样透过妥协的物联网设备来赚钱。
该研究也发现,有新的威胁网络和ip地址不断地加入物联网狩猎行列,成为新威胁参与者,并且随着时间的推移,已经演变为一致共存的顶级威胁参与者。它们可能使用受欢迎的网络如托管服务提供商,或电信网络中的住宅物联网设备,利用家庭路由器、无线ip摄影机和dv r透过telnet进行攻击,并发起ddos攻击。
1殭尸物联网的威胁持续存在
经过两年的数据分析后,仍然看到同样的威胁ip、网络和国家在发动攻击。这代表若不是恶意流量未被处理,否则就是遭感染的iot装置没有接受净化,要不然不会一再地看到相同的威胁者。这些攻击建立了强大的殭尸物联网,具备发动全球毁灭性攻击的能力,而安全产业也越来越频繁的发现它们,如图1所示。
▲ 图1 由物联网攻击机器人(thingbot)发起的前十五大攻击
因此,本期报告首度揭露这些攻击ip。非仅殭尸物联网被发现的频率增加,单是2018年1月就有四个新殭尸物联网,而且攻击者的攻击方法持续进化,除了telnet之外,还瞄准一些协议,为的是确保能够尽可能猎杀最多脆弱的iot装置,如图2所示。
▲图2 透过telnet实施的网络攻击
2telnet攻击构筑大规模殭尸物联网
尽管iot攻击已扩充至telnet以外的协议,不过telnet暴力攻击仍然是最普遍使用的手法,数量从2016到2017成长249%。2017年7~12月期间的攻击数量低于前六个月期,然而攻击层级则和mirai相当,而且比用来构筑mirai的数量还多,如图3所示。这个攻击数量足以构筑许多相当大规模的殭尸物联网,因此纵使数量减少,但并不表示攻击者兴趣减低或者威胁降低,而是因为过去已有如此众多telnet攻击,因此攻击者达到一个饱和点。telnet唾手可得的果实很容易被捡走。
▲图3 2016年1月至2017年12月每季telnet攻击统计
若以过去两年的telnet攻击活动和telnet殭尸物联网被发现的时候做比较,就可以从数据看出安全研究人员总是比攻击者落后数个月(若非数年的话)。已报导的telnet攻击,至少已建构九个相当大的殭尸物联网,而且还有空间可建构更多殭尸物联网,只是目前尚未发现(图4)。
▲图4 来自thingbot的telnet攻击统计
3mirai殭尸物联网正在增长
已知的殭尸物联网例如mirai和persirai(透过telnet攻击)尽管大家普遍知道它们的存在和威胁,但仍继续成长。从2017年6月到12月,mirai在拉丁美洲显著成长,而在美国、加拿大、欧洲、中东、非洲、亚洲和澳洲也都呈现中度成长,如图5所示。
▲图5 2017年12月全球mirai殭尸物联网分布图
4依照地区区分攻击来源和目标
中国、美国和俄罗斯是三大攻击国。在这段期间,44%攻击源自中国,另外44%源自十大攻击国的第2到第10排名国家,每一个国家占总数量的10%以下。其余22%源自一些流量少于1%的数个国家,如图6所示。
▲图6 前十名攻击来源国家
没有特别突出的iot攻击目标国,因为脆弱的iot装置无差别地部署在全球。没有任何国家拥有一个未遭受攻击的安全iot部署。在报告的六个月期间,最常遭受攻击的国家为美国、新加坡、西班牙和匈牙利,如图7所示。
▲图7 前十名最常遭受攻击的国家
5依产业区分攻击
在这段期间,前五十大攻击自治系统编号(asn)有80%属于电信或isp公司,那正是iot装置驻留的地方(相较于主机代管公司的服务器)。若要让iot发动攻击,就必须骇入这些装置。
6威胁的下一步?
物联网装置由于安全性很差而且实行全球规模的广泛部署,因此必须将它们视为一种迫切的威胁。十年来,它们不但已被骇并且继续被当成攻击的武器,而我们甚至还没有迈入iot的大量消费者采纳阶段。如果不开始着手处理这个问题,可以确定的是,未来将会很混乱。iot安全性必须靠个人、政府和制造商共同维护,包括全球网民应该做的事、企业和政府(他们都建置iot并遭受iot攻击)应该做的事、以及iot制造商应该结合到产品开发生命周期的措施,详如表1。
7将威胁映像到活动主题
殭尸物联网是利用被骇的iot装置建构而成,它和传统殭尸网络不同的地方在于修复能力。物联网装置典型上都属于非管理型的装置。一个遭入侵的iot装置被其所有者发现并予以修复的机会相当低,这正是为什么过了二年还会看到相同的攻击装置。恶名昭彰的mirai也因为如此,不但没有被毁灭,反而继续成长。殭尸物联网可以发动一如传统殭尸网络所能的任何攻击,而且因为它们的规模而更具危害性。这些陈述和殭尸物联网数据,可使用于任何讨论殭尸网络流量与攻击的主题活动。
表1 iot安全性须由所有人共同维护
全球领先的照明品牌昕诺飞也开始对我国市场上的产品进行调价
E拆解:5G手机比4G贵在哪里?拆解iQOO Pro 5G告诉你
继电器在充电桩中的应用是怎样的
如何在OpenMP中使用嵌套
智慧城市和边缘计算之间的关系是什么
殭尸物联网的成长与进化势必将带来混乱
钛合PPM系列称重传感器的简单介绍
立柱机器人各种箱装袋装物料码垛,应用广泛快速方便整齐
DC-DC降压芯片4.5V-55V转5V0.2-1A电源芯片AH8663
高通一家独大的市场局面将面临洗牌
车企Q3财报:赔到腿抖或数钱到手软
工业智能网关应用:工业大吊扇能耗采集监控解决方案
Cisco配置静态路由
大功率电源系统的电源转换及稳压级需要纤薄的平面封装?
圣诞节即将来临,这些蓝牙耳机已经做好准备了
运算放大器和电压比较器的区别
C-V2X迎规模落地,为车辆智能化时代保驾护
华为PTN910时钟接口指标_参数及特点介绍
SM4A20T系列低压线性恒流灯带IC最新升级版方案应用
利用智能交通让救护车“一路绿灯”