2018年上半年物联网恶意活动&僵尸网络数据摘要 - 锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务

锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务

		设为首页
		收藏本站

首页

公司介绍

服务项目

服务报价

维修流程

IT外包服务

服务器维护

技术文章

常见故障

锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务 → 技术文章

2018年上半年物联网恶意活动&僵尸网络数据摘要

作者: 佚名日期:2018-11-08 14:46:40 来源: 本站整理

在F5实验室最新发布的物联网安全报告中，分析了2018年1月至6月期间全球物联网（IoT）设备受攻击的数据，涵盖物联网设备使用的主流服务和20个端口的分析数据。
以下是从2018年1月1日到6月30日基于收集的数据得出的结果概要：
1、物联网设备已成为网络恶意活动的头号目标，受到的攻击数量远超Web和应用程序服务器、电子邮件服务器和数据库。
2、远程登陆攻击占比下降，原因在于通过23端口监听的物联网设备已被Thingbot僵尸网络移除。
3、今年3月，针对每个受监听端口的攻击流量剧增。基于对攻击流量的解析，其中84％来自电信运营商，因此可推测电信运行商掌握的物联网设备中有不少已被僵尸网络感染。
4、针对物联网设备的攻击类型，SSH爆破攻击排第一，其次是远程登陆。
5、来自伊朗和伊拉克的IP地址首次进入攻击IP地址列表前50名。
6、攻击IP地址列表前50名都是新面孔，在上一篇报告中前50个攻击IP中74％曾经出现过。也就是说，之前受感染的设备可能被全部清理了。
7、西班牙是受攻击最严重的国家，受攻击的数量占比高达80％。在过去一年半的时间里，西班牙一直是“稳坐第一”。显然，西班牙的物联网安全存在基础性和结构性的问题。
8、巴西、中国、日本、波兰和美国是主要的攻击来源国。
概述
F5实验室在2018年上半年共监控到13个物联网僵尸网络，2016年为9个，2017年为6个，僵尸网络形成的增速惊人。F5实验室监控僵尸网络中的设备类型、感染途径、以及发现手段，以下是这13个僵尸网络的概况：
VPN Filter：收集用户凭据，安装网络嗅探器以监控ICS协议，最后安装tor节点。
Wicked：目标对象为SOHO路由器、CCTV和DVR，安装SORA和OWARI，两者都是提供“租用服务”的僵尸网络。
Roaming Mantis：寄生在Wi-Fi路由器以及Android和iOS手机，并在受感染的设备上进行DNS劫持和地雷加密货币。
Omni：危害GPON家用路由器，用于加密或DDoS攻击。
UPnProxy：扫描SOHO路由器并安装可绕过访问控制的代理服务器，之后发起：垃圾邮件和网络钓鱼活动；点击欺诈；账户接管和信用卡欺诈；DDoS攻击；安装其他僵尸网络；分发恶意软件。
OWARI：接管SOHO路由器，作为多用僵尸网络“服务”出租。
SORA：接管SOHO路由器，作为多用僵尸网络“服务”出租。
DoubleDoor：目标对象为受瞻博网络家庭防火墙保护的SOHO路由器，可在目标设备上安装代理服务器，发起多种类型的攻击。
OMG：接管SOHO路由器、无线IP摄像机和DVR，安装代理服务器，可发起多种类型的攻击。
JenX：入侵SOHO路由器和无线芯片组，发起DDoS攻击。JenX是一种DDoS-for-Hire服务，以20美元的价格提供300Gbps攻击。
Hide’n Seek：接管IP摄像机，能够发起的攻击类型目前未知。
Pure Masuta：目标对象为家用路由器，能够发起的攻击类型目前未知。
Masuta：接管家用路由器并发动DDoS攻击。
受感染数量最多的物联网设备依次为SOHO路由器、IP摄像机、DVR和CCTV。

图1：过去10年僵尸网络感染的设备类型分布
以往物联网僵尸网络最常见的攻击类型是对目标对象发起DDoS，在2018年形势发生了变化。僵尸网络的掌控者开始转向DDoS多用途攻击“服务”的出租，安装代理服务器用于发动指定类型的恶意攻击，安装节点和数据包嗅探器发起PDoS攻击，DNS劫持、凭证收集、凭证填充和欺诈木马等恶意活动。

图2：在过去10年中，物联网僵尸网络发起的恶意活动类型分布
构建物联网僵尸网络的主流方法是在互联网上对全球范围内的设备进行，查找开放的远程服务，比如说物联网领域专用的HNAP、UPnP、SOAP、CVE，以及一些TCP端口。

图3：过去10年中，感染方式分布
研究报告指出，蜂窝物联网网关与传统的有线和无线物联网设备一样脆弱，尤其是物联网基础设施与物联网设备都很容易受到身份验证攻击。报告指出，62％的被测设备易受基于弱密码和默认凭证的远程访问攻击。这些设备被用于构建带外网络、创建网络后门、进行网络间谍活动、实施中间人攻击、DNS劫持等。
“最受欢迎”的物联网设备端口前20名
服务
端口
物联网设备类型
SSH
22
多种物联网设备类型
HTTP
80
主要是网络应用程序，也包括常见的物联网设备、ICS和游戏控制器
远程登陆
23
所有
SIP
5060
VoIP电话、视频会议设备
HTTP_Alt
8080
SOHO路由器、智能喷淋设备、ICS R069
7547
SOHO路由器、网关、CCTV
应用
8291
SOHO路由器
Telnet
2323
所有
HTTP
81
Wi-Fi摄像头
SMTP
25
Wi-Fi摄像头、游戏机
Rockwell
2222
ICS
HTTP_Alt
8081
硬盘录像机
WSP
9200
无线接入点
HTTP_Alt
8090
网络摄像头
UPnP
52869
无线芯片组
应用
37777
硬盘录像机
UPnP
37215
SOHO路由器
应用
2332
蜂窝网关
Rockwell
2223
ICS
Secure SIP
5061
VoIP电话、视频会议设备
大多数物联网设备已从Telnet转为使用SSH进行远程管理，而SOHO路由器、电视机、游戏机和ICS等物联网设备已经使用80端口很久了。智能电视和游戏机会定期启动网络服务器，使用UPnP管理自动打开SOHO路由器或防火墙的端口。Radiation、Reaper和Wicked均瞄准了HTTP协议的80、81和8080端口。

图4：受攻击数量最多的20个IoT设备端口的时间分布
十大攻击目标国家和地区
西班牙自2017年第一季度以来一直稳坐物联网恶意活动“最受欢迎的”目标国家，2018年1月1日至6月30日期间遭到的攻击流量占比高达80%，该数据直接反映出西班牙物联网资产的脆弱程度。

图5：十大攻击目标国家和地区
在过去一年半的时间里，匈牙利在受攻击最多的国家中也占据了一席之地。排在前三位的其他国家是美国、俄罗斯和新加坡。

表2：过去两年中前10个攻击目的地国家
十大攻击源国家和地区
2018年1月1日至6月30日期间，来自巴西的流量最多，该总攻击流量的18％，这可能与前段事件巴西国内大量路由器遭到劫持有关。排在巴西之后的是我国。

图6：十大攻击源国家
来自日本的攻击流量从2017年第三季度和第四季度的占总攻击流量的1％大幅上升到2018年第一季度和第二季度总攻击流量的9％。波兰和伊朗的2018年第一季度和第二季度数据也值得关注，在过去的两年半中，这两个国家仅排在前十名上下，这两个国家在2017年第一季度和第二季度中发起的攻击占比不到1％。

表3：过去两年中排名前10位的攻击来源国家和地区
排名前50的攻击IP地址
以下排名前50的攻击IP地址按攻击流量由高到底排列。该列表中的所有 IP地址都是新出现的。这种情况有几种可能：以前受感染设备被全网清理；新的顶级玩家兴起；被监控设备的所有者将恶意活动转移到了新系统。
这一时期最明显的变化是来自伊朗和伊拉克的IP地址数量激增。
编号
IP地址
IP所有者
行业
国家
ASN
1
185.140.242.49
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
2
185.140.242.96
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
3
185.140.242.81
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
4
185.140.243.12
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
5
185.140.100.233
Daniel Wojda trading as Netservice
电信/ ISP
波兰
AS203272
6
185.140.102.190
Daniel Wojda trading as Netservice
电信/ ISP
波兰
AS203272
7
185.140.243.95
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
8
185.140.100.120
Daniel Wojda trading as Netservice
电信/ ISP
波兰
AS203272
9
185.140.101.69
Daniel Wojda trading as Netservice
电信/ ISP
波兰
AS203272
10
167.99.83.206
DigitalOcean，LLC
主机
联合王国
AS14061
11
185.140.100.9
Daniel Wojda trading as Netservice
电信/ ISP
波兰
AS203272
12
185.140.241.64
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
13
163.177.152.14
中国联通广东IP网络
电信/ ISP
中国
AS136959
14
218.63.110.81
中国电信-YN
电信/ ISP
中国
AS4134
15
185.140.103.228
Daniel Wojda trading as Netservice
电信/ ISP
波兰
AS203272
16
185.140.192.41
Layth Zuhair Zahid
未知
伊拉克
AS203257
17
185.140.243.111
Farakam Rayan Kish Co. (Ltd.)
电信/ ISP
伊朗
AS56815
18
185.140.192.9
Layth Zuhair Zahid
未知
伊拉克
AS203257
19
103.51.35.206
Sky Tele Ventures
电信/ ISP
印度
AS133972
20
185.140.101.5