欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

2018年上半年物联网恶意活动&僵尸网络数据摘要

来源:本站整理 作者:佚名 时间:2018-11-07 TAG: 我要投稿

在F5实验室最新发布的物联网安全报告中,分析了2018年1月至6月期间全球物联网(IoT)设备受攻击的数据,涵盖物联网设备使用的主流服务和20个端口的分析数据。
以下是从2018年1月1日到6月30日基于收集的数据得出的结果概要:
1、物联网设备已成为网络恶意活动的头号目标,受到的攻击数量远超Web和应用程序服务器、电子邮件服务器和数据库。
2、远程登陆攻击占比下降,原因在于通过23端口监听的物联网设备已被Thingbot僵尸网络移除。
3、今年3月,针对每个受监听端口的攻击流量剧增。基于对攻击流量的解析,其中84%来自电信运营商,因此可推测电信运行商掌握的物联网设备中有不少已被僵尸网络感染。
4、针对物联网设备的攻击类型,SSH爆破攻击排第一,其次是远程登陆。
5、来自伊朗和伊拉克的IP地址首次进入攻击IP地址列表前50名。
6、攻击IP地址列表前50名都是新面孔,在上一篇报告中前50个攻击IP中74%曾经出现过。也就是说,之前受感染的设备可能被全部清理了。
7、西班牙是受攻击最严重的国家,受攻击的数量占比高达80%。在过去一年半的时间里,西班牙一直是“稳坐第一”。显然,西班牙的物联网安全存在基础性和结构性的问题。
8、巴西、中国、日本、波兰和美国是主要的攻击来源国。
概述
F5实验室在2018年上半年共监控到13个物联网僵尸网络,2016年为9个,2017年为6个,僵尸网络形成的增速惊人。F5实验室监控僵尸网络中的设备类型、感染途径、以及发现手段,以下是这13个僵尸网络的概况:
VPN Filter:收集用户凭据,安装网络嗅探器以监控ICS协议,最后安装tor节点。
Wicked:目标对象为SOHO路由器、CCTV和DVR,安装SORA和OWARI,两者都是提供“租用服务”的僵尸网络。
Roaming Mantis:寄生在Wi-Fi路由器以及Android和iOS手机,并在受感染的设备上进行DNS劫持和地雷加密货币。
Omni:危害GPON家用路由器,用于加密或DDoS攻击。
UPnProxy:扫描SOHO路由器并安装可绕过访问控制的代理服务器,之后发起:垃圾邮件和网络钓鱼活动;点击欺诈;账户接管和信用卡欺诈;DDoS攻击;安装其他僵尸网络;分发恶意软件。
OWARI:接管SOHO路由器,作为多用僵尸网络“服务”出租。
SORA:接管SOHO路由器,作为多用僵尸网络“服务”出租。
DoubleDoor:目标对象为受瞻博网络家庭防火墙保护的SOHO路由器,可在目标设备上安装代理服务器,发起多种类型的攻击。
OMG:接管SOHO路由器、无线IP摄像机和DVR,安装代理服务器,可发起多种类型的攻击。
JenX:入侵SOHO路由器和无线芯片组,发起DDoS攻击。JenX是一种DDoS-for-Hire服务,以20美元的价格提供300Gbps攻击。
Hide’n Seek:接管IP摄像机,能够发起的攻击类型目前未知。
Pure Masuta:目标对象为家用路由器,能够发起的攻击类型目前未知。
Masuta:接管家用路由器并发动DDoS攻击。
受感染数量最多的物联网设备依次为SOHO路由器、IP摄像机、DVR和CCTV。

图1:过去10年僵尸网络感染的设备类型分布
以往物联网僵尸网络最常见的攻击类型是对目标对象发起DDoS,在2018年形势发生了变化。僵尸网络的掌控者开始转向DDoS多用途攻击“服务”的出租,安装代理服务器用于发动指定类型的恶意攻击,安装节点和数据包嗅探器发起PDoS攻击,DNS劫持、凭证收集、凭证填充和欺诈木马等恶意活动。

图2:在过去10年中,物联网僵尸网络发起的恶意活动类型分布
构建物联网僵尸网络的主流方法是在互联网上对全球范围内的设备进行,查找开放的远程服务,比如说物联网领域专用的HNAP、UPnP、SOAP、CVE,以及一些TCP端口。

图3:过去10年中,感染方式分布
研究报告指出,蜂窝物联网网关与传统的有线和无线物联网设备一样脆弱,尤其是物联网基础设施与物联网设备都很容易受到身份验证攻击。报告指出,62%的被测设备易受基于弱密码和默认凭证的远程访问攻击。这些设备被用于构建带外网络、创建网络后门、进行网络间谍活动、实施中间人攻击、DNS劫持等。
“最受欢迎”的物联网设备端口前20名
服务
端口
物联网设备类型
SSH
22
多种物联网设备类型
HTTP
80
主要是网络应用程序,也包括常见的物联网设备、ICS和游戏控制器
远程登陆
23
所有
SIP
5060
VoIP电话、视频会议设备
HTTP_Alt
8080
SOHO路由器、智能喷淋设备、ICS

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载