卡巴斯基：2018上半年物联网威胁新趋势

网络犯罪分子也没有忽视网络摄像机。 2017 年 3 月研究人员在 GoAhead 设备的软件中发现了几个严重的漏洞。在相关信息被披露的一个月后，利用这些漏洞的 Gafgyt 和 Persirai 木马新变体出现了。仅在一周内，这些恶意程序就积极感染了 57000 个设备。

2018 年 6 月 1 日， XionMaiuc-httpd web 服务器中的漏洞( CVE-2018-10088 )的相关PoC被公开。该产品被用于一些中国制造的智能设备之中(如 KKMoonDVRs )。一天之内，针对这些设备的有记录的扫描尝试增至三倍。这一激增的罪魁祸首就是 Satori 木马，其以之前针对GPON路由器的攻击而闻名。

二、终端用户面临的新恶意软件和威胁

1. DDoS攻击

与以前一样，物联网恶意软件的主要目的是进行 DDoS 攻击。受感染的智能设备成为僵尸网络的一部分，根据相关命令攻击一个指定的地址，耗尽该主机用于处理真实用户请求的资源和能力。木马家族 Mirai 及其变体(尤其是 Hajime )仍在部署此类攻击。

这可能是对终端用户危害最小的情况了。最坏情况(很少发生)也就是受感染设备的拥有者被 ISP 拉黑。而且通常情况下简单地重启设备就可以“治愈”该设备。

2. 加密货币挖掘

另一类有效荷载与加密货币有关。例如， IoT 恶意软件可以在受感染设备上安装恶意矿工。但是鉴于智能设备的算力很低，这种攻击的可行性还是一个疑问，即使它们的数量可能很大。

Satori 木马的创建者发明了一种更为狡猾和可行的获取加密货币的方法。他将受感染的 IoT 设备作为访问高性能计算机的一种钥匙：

第一步，攻击者首先试图利用已知漏洞感染尽可能多的路由器，这些漏洞包括：

• CVE-2014-8361–Realtek SDK 的 miniigd SOAP 服务中的远程代码执行漏洞
• CVE 2017-17215– 华为 HG532 系列路由器固件中的远程代码执行漏洞
• CVE-2018-10561, CVE-2018-10562–Dasan GPON 路由器中的身份认证绕过漏洞和任意代码执行漏洞
• CVE-2018-10088–XiongMai uc-httpd 1.0.0 中的缓冲区溢出漏洞，该产品被用于部分中国制造的路由器和智能设备的固件中

第二步，利用受感染的路由器和以太坊挖矿软件 Claymore 的远程管理工具中的漏洞 CVE-2018-1000049，将钱包地址替换成自己的。

3. 数据窃取

在 2018 年 5 月检测到的 VPNFilter木马则追求其它的目标。它首先拦截受感染设备的流量，然后从中提取重要的数据(用户名、密码等)并发送到网络犯罪分子的服务器。下面是 VPNFilter 的主要功能：

• 模块化架构。该恶意软件的创建者可随时添加新的功能。例如， 2018 年 6 月初检测到一个用于向截获的网页注入 JavaScript 代码的新模块。
• 自启动机制。该木马将自己写入标准 Linux 计划任务程序 crontab ，还可以修改设备的非易失性存储器( NVRAM )中的配置设置。
• 使用 TOR 与 C&C 服务器进行通信。
• 能够自毁并使设备“变砖”。一旦接收到相关命令，该木马就会自我删除并用垃圾数据覆盖固件的关键部分，然后重启设备。

该木马的传播方法仍然未知：其代码中没有包含自我传播机制。无论如何，我们倾向于认为它通过利用设备软件中的已知漏洞来感染设备。

第一份关于VPNFilter的报告称其感染了约 50 万个设备。从那时起，更多的设备被感染了，并且易受攻击的设备厂商列表大大加长了。到六月中旬，其目标包括以下品牌的设备：

• ASUS
• D-Link
• Huawei
• Linksys
• MikroTik
• Netgear
• QNAP
• TP-Link
• Ubiquiti
• Upvel
• ZTE

由于这些厂商的设备不仅在公司网络中使用，而且常被用作家用路由器，这使得情况变得更糟。

三、结论

智能设备正在崛起， 有人预测称 2020 年智能设备的数量将超过世界总人口数量的好几倍。然而厂商们还是没有重视设备的安全性：在设备初始化设置过程中，他们没有提醒用户去修改默认密码;他们也没有向用户发布关于新固件版本的通知;甚至更新过程本身对普通用户而言都显得十分复杂。这使得物联网设备成为网络犯罪分子的主要攻击目标，甚至比个人计算机更容易受到感染。物联网设备通常在家庭基础设施中扮演了一个重要的角色：有些用于管理网络流量，有些用于拍摄监控视频，还有一些用于控制家用设备(如空调等)。

针对智能设备的恶意软件不仅在数量上增长，而且在质量上也在增长。越来越多的 exploits (漏洞利用程序)被网络犯罪分子开发出来。而除了传统的 DDoS 攻击之外，被感染的设备还被用于窃取个人数据和挖掘加密货币。

下面是一些可以帮助减少智能设备感染风险的小技巧：

• 除非绝对必要，否则禁止从外部网络访问设备;
• 定期重启有助于清除已感染的恶意软件(尽管大多数情况下还存在再次感染的风险);
• 定期检查是否存在新版本的固件并进行更新;
• 使用复杂密码(长度至少为 8 位，包含大小写字母、数字和特殊字符);
• 在初始设置时更改出厂密码(即使设备未提示您这样做);
• 如果选项存在，则关闭 / 禁用不使用的端口。例如，如果您不打算通过 Telnet (占用 TCP 端口 23 )连接到路由器，则最好禁用该端口以降低被入侵的风险。

原文链接：https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/

【编辑推荐】

1. 大数据、物联网、区块链：融合趋势三重奏的好处
2. 减少工业物联网设备成本的小技巧
3. 常见的十大物联网通讯技术优劣及应用场景
4. 物联网与车队管理
5. 如何选择合适的物联网平台：终极清单

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!