F5「獵殺 IoT」報告第五系列調查分析全球物聯網 IoT 裝置在 2018 年 1 月到 6 月期間遭受的攻擊。Gartner 於 2017 年初預測 IoT 裝置將在 2017 超過 84 億台,並且 2020 將增加至 204 億台以上。也就是說,短短三年就有驚人的 143% 成長率。我們的研究也發現令人吃驚的結論:
不安全的 IoT 衝擊每一個人。就算你沒有智慧型住家或智慧型電話,同樣都會因為 IoT 裝置遭入侵而蒙受其害。當你走出家門的那一刻,你的一舉一動就開始受到監控。CIA 最近談論此問題時表示,情報人員因為穿戴式裝置和 IP 網路攝影機遭入侵而暴露行蹤。F5 Labs 揭露發生在緊鄰美國總統川普身邊的 IoT 裝置攻擊,包括他在新加坡和金正恩以及在芬蘭和俄羅斯普丁會談期間。這些攻擊很可能來自包括敵對和友好國家,企圖透過目標人士附近的IP網路攝影機、VoIP 電話或視訊系統以窺視會談內容。
你想要隱私?那就回歸原始生活吧。許多政府在主要城市佈設 IP 攝影機以改善公共安全,但很多人相信那只為了監控人民。英國被公認是全世界監控最密集的國家之一,倫敦市民都知道自己被監控。2012 年部署了 300 台閉路電視攝影機,現在這個數字可能更高了。台灣監視器的密度也是全球知名,根據警政署的統計全台縣市超過 7 萬支監視器。
人類生活面臨危險。迄今,我們的「獵殺 IoT」系列報告都聚焦使用 WiFi 連接的 IoT 裝置,但其實還有連接行動網路的 IoT 裝置。它們通常是連結至關鍵基礎設施與設備的閘道,而這些設施與設備是用來支援人類生活,例如警車、消防車與救護車、關鍵工業控制系統及其他需要穩定長距離連接性的關鍵系統。F5 Labs 在 Black Hat 2018 發表一台警車整天的巡邏路線影片,研究發現只需簡單的型態辨識就可以分辨屬於那台警車,而且不到六分鐘就查出警官的住處。
我們的住家已變成對我們不利的「武器」。除了平常使用的家用路由器、DVR 和 IP 網路攝影機之外,一些家電例如電視、烤箱、冰箱、Amazon Alexa、Siri和Google Assistant、Keurig 咖啡機和玩具等,都可能被入侵用來窺視、收集資料或發動攻擊,我們確實也偵測到從 Keurig 發出的攻擊流量。
IoT 已成為最脆弱的環節。相較於用釣魚郵件詐騙收件人點擊連結,更簡單的方法就是入侵一台暴露在公共 Internet,並且是知廠商預設帳號密碼保護的 IoT 裝置。不顯眼的 IoT 裝置成為企業網路被駭的漏洞,因為那些往往被認為屬於「公共設施」型的裝置,並且交由一些莫不關心安全性的第三方,負責管理。歐洲一家賭場因為水族箱內的調溫器而被駭,而美國零售商 Target 則是被駭客透過空調系統入侵。
從物聯網構築多用途殭屍網路,已成為攻擊者社群流行的手法。「Script kiddies 指令小子」這些以「駭客」自居的初學者,他們從 YouTube 影片學習如何架構殭屍網路和發動破壞性的 DDoS 攻擊。我們所知的殭屍物聯網有 74% 是在過去二年建構。單是 2018 就發現 13 個殭屍物聯網,而且已不再有單一或雙用途殭屍網路。它們現在已轉移到部署 proxy 伺服器的多用途攻擊殭屍網路,可供租用以發動任何攻擊或利用多重攻擊選項以安裝其他殭屍網路。
IoT 安全維護是現在最關鍵的需求。我們的報告公布了包括攻擊來源,包括來源國、ASN、行業和 IT 位址、攻擊目標國或地區、以及 50 大遭攻擊的 admin 帳密,期望電信公司和主機代管服務供應商,可以對那些惡意流量做一些處置。我們發布這些資訊的另一用意是希望防衛者可以用來保護他們自己的網路,以及辨識一些入侵指標。
在 IoT 系列四「獵殺 IoT:殭屍物聯網的成長與進化」研究報告中,F5 Lab 承諾要擴充資料收集範疇以涵蓋 IoT 裝置慣常使用的服務。在第五版本研究報告,特別整理出 IoT 裝置普遍使用的 20 大通訊埠。以下是 2018 年 1 月 1 日到 6 月 30 日期間收集到的關鍵攻擊資料摘要:
● IoT 裝置現在成為Internet的第一攻擊目標,超越 Web 和應用伺服器、電子郵件伺服器和資料庫 (這不應該在 Internet 接受存取)。
● 一如預期,telnet 攻擊呈現下滑趨勢,因為我們認為大部分採用 port 23 的 IoT 裝置已被既有殭屍物聯網掃光。
● 2018 年 3 月間的攻擊流量出現一個大突波,瞄準我們現在追蹤的每一個 IoT 相關埠。依照這些流量的「產業別」歸納結果,發現 84% 來自電信公司,原因可能是因為電信網
路既有殭屍物聯網流量的成長。
● SSH 暴力攻擊是 IoT 裝置的第一攻擊類型,其次為 telnet。
● 伊朗和伊拉克 IP 位址在之前從未有過發動攻擊的記錄,而現在已躍升到 50 大攻擊 IP 位址名單之內。
● 西班牙是遭受攻擊的第一目標國,在調查期間遭受 80% 攻擊。西班牙在過去一年半都是排名第一的被攻擊國家。很明顯的,西班牙存在 IoT 安全問題。
● 巴西是排名第一的攻擊國,其次為中國、日本、波蘭和美國。
最易受感染的 IoT 裝置是家用路由器,DDoS 攻擊者在 2018 轉移到多用途攻擊殭屍
到 2020 年,新部署的 IoT 裝置預期將增加 12 億。這是一個令人吃驚的數字。我們現在已有連網洗碗機、烤箱、麵包機、冰箱和咖啡機。Verizon 最近宣布開通 5G 住家服務,提供高達 1 Gbps 速度。這個頻寬非常充裕到可以支援你家廚房的每一台家電、娛樂、燈光與溫控系統、智慧型電視、遊戲系統、DVR、串流電視棒,再加上數台電腦。那麼,請試著想像從一台 1 Gbps 家用路由器發出的殭屍物聯網攻擊規模。
無人機將有它們自己的領空,用於遞送包裹和監視服務。未來將有更多攝影機監視交通、行人、大樓和住家。一些特定商店將變成完全自動化和自動結帳,例如舊金山 Standard Market17 利用保全攝影機監看客戶挑選的商品,然後自動扣款。該公司估計這項技術到 2020 年將達到每月增加 100 店面的規模。
最容易受感染的 IoT 裝置,以它們參與殭屍網路活動的數量為依據,是家用路由器,其次是 IP 網路攝影機、DVR 和閉路電視。
圖二:過去 10 年發現的殭屍物聯網 – 以遭感染的 IoT 裝置類型劃分
最常見的攻擊類型是 DDoS,然而,攻擊者在 2018 轉移到多用途攻擊殭屍,提供 DDoS 和其他許多類型的攻擊,包括安裝 proxy 伺服器以發動任何攻擊、挖礦劫持、安裝 tor 節點、封包嗅探器 (packet sniffer)、發動 PDoS 攻擊、DNS 劫持、帳密收集、帳密填充與詐欺木馬等。
圖三:過去 10 年發現的殭屍物聯網 – 以發動的攻擊類型劃分
攻擊者發現,最終使用惡意軟體並感染 IoT 裝置的最常見手法是透過全球 Internet 掃描,搜尋開啟的 telnet 遠程終端連接服務,包括 IoT 裝置製造商的特定 HNAP、UPnP、SOAP 和 CVE,以及一些 TCP 埠。
圖四:過去 10 年發現的殭屍物聯網 – 以 IoT 裝置遭感染的方式劃分
最令人關切的是,IoT 基礎設施就如同 IoT 裝置本身一樣很容易被攻擊者利用脆弱的帳密發動認證攻擊。F5 Labs 最近與資料夥伴 Loryka 合作,以行動網路 IoT 裝置為對象展開調查,結果發現行動網路 IoT 閘道就如同傳統有線和無線 IoT 裝置一樣脆弱。事實上,62% 受測裝置容易遭受攻擊者利用廠商預設的脆弱帳密發動遠端存取攻擊。這些裝置當成out-of-band 網路,建立網路後門,並已在全球廣泛使用。
最易遭受攻擊的 10 個 IoT埠
我們從 IoT 裝置最常使用的服務和通訊埠收集攻擊資料,以掌握全球 IoT 攻擊態勢。
(表一為 IoT 裝置最易遭受攻擊的 10 個 IT 埠)
SSH port 22 暴力攻擊是全球排名第一的攻擊類型,其次是 port 80 http 網路流量、telnet、SIP port 5060 以及 http port 8080。IoT 裝置使用這所有埠。許多 IoT 裝置已轉移到SSH (取代 telnet) 做為遠端管理。(其他易受攻擊的 IT 埠請參閱完整報告)
Telnet 攻擊趨勢
2018 年 3 月出現大型的攻擊突波,使得 2018 第二季的總攻擊量相對於第一季驟降 94%。我們現在觀察的 telnet 攻擊仍比我們在 2016 年 1 月開始製作這個研究系列時還要多,但我們在前二期報告已指出由於 IoT 裝置已轉移到 SSH 執行遠端管理,因此預期 telnet 攻擊將逐漸減少。
利用 Telnet 攻擊以構築 Telnet 殭屍物聯網
圖八是以我們收集的telnet攻擊資料,和那些原先從初始 telnet 攻擊構築而成的殭屍物聯網做比較。我們認為大型的攻擊突波代表全球 Internet 掃描,用於偵察掃描可用的裝置,接著是發動目標攻擊。你可以看到這種「偵察與構築」型態在這二年半來發生許多次。其結果發展出至少 12 個殭屍物聯網 (圖八)。值得注意的是,其中二個 (Hajime 和 Brickerbot) 會永久性的摧毀 IoT 裝置,其目標是要減少可入侵和攻擊的 IoT 裝置數量。
(圖八:從我們追蹤之 Telnet 攻擊構築而成的殭屍物聯網)
十大攻擊目標國
西班牙從 2017 第一季以來一直是遭受攻擊最多的國家,2018 年 1 月 1 日到 6 月 30 日之間發動的攻擊流量有 80% 送到西班牙。這一年半期間,西班牙是排名第一的攻擊目標國。
(圖九:十大攻擊目標國)
匈牙利在這一年半都維持在前三大攻擊目標國名單,其他經常進入前三大排名的國家是美國、俄羅斯和新加坡。
攻擊流量最多的 IP 位址來源行業
大多數攻擊源自提供 Internet 服務給住家、小型辦公室和大樓網路的電信公司和 ISP,而這些地方正是大多數 IoT 裝置的設置地點。當一台 IoT 裝置被感染後,它將掃描其他 IoT 裝置繼續感染,這是大多數殭屍物聯網採用的分散式掃描模式,同時也被用於發動攻擊。因此,我們預期見到電信公司/ISP 產生大多數 IoT 攻擊流量,二年半來確實都是如此。我們相信只要主機代管服務供應商送出的流量顯著增加,就顯示攻擊者正在構築新的殭屍網路。攻擊者租用主機代管中心的系統以啟動殭屍網路構築程序,而這項構築工作最後由電信公司網路內遭感染的 IoT 裝置接手。
全球 Mirai 感染
儘管 Mirai 惡名昭彰而且是發動過攻擊的最強殭屍物聯網 (Reaper 雖然更為強大但並沒有發動攻擊),但全球在反制上並沒有達到多大的成效。要瓦解一個殭屍物聯網所面對的挑戰在於很多遭感染的 IoT 裝置 (1) 無法接受韌體更新、(2) 它們的所有人或運營者欠缺安全維護技術、或者 (3) 設置在電信公司內部而電信公司對於更換或切斷連接的意願很低,因為那可能會同時中斷他們的服務。
自從 Mirai 原始碼被公開後,至少出現了 10 個變種,例如 Annie、Satori/Okiru、Persirai、Masuta、Pure Masuta、OMG、SORA、OWARI、Omni 和 Wicked。
圖 16 的每一個點代表一台 Mirai 感染裝置的縱橫坐標。紅點代表「掃描節點」,用於搜尋其他脆弱的 IoT 裝置以進行感染和擴充殭屍網路。黃點代表惡意軟體的主機系統,可從該節點抓取最近的更新。
(圖 16:全球 Mirai 感染圖,2018 年 6 月)
安全無法回頭,嚴謹武裝面對衝擊
從已部署的 IoT 裝置在欠缺安全標準,以及無法改變其全球安全性等各方面來看,我們已來到一個無法回頭的點。我們無法擺脫已部署在全球的超過 80 億裝置,其中大部分都是以存取便利性而非安全性為考量。我們不知道那 80 多億裝置有多少比例具有安全弱點,但我們知道用來「保護」關鍵系統例如警車、消防車和機場運作的不安全行動閘道比例高達 62%。
120 億新裝置將無法靠 IPv4 上線,因為 IPv4 的可用空間根本不足。建置者將被迫使用 NAT (這是好事),轉移到行動網路和進一步採納 5G,以及轉移到 IPv6,而這將帶來更多複雜性和安全問題。
企業必須自我武裝以面對衝擊,因為 IoT 為攻擊者提供了無窮的機會,而且殭屍物聯網的構築現在非常普遍。F5 預期在我們觀察中的 IoT 攻擊將建構新的殭屍物聯網,並且已發現的殭屍物聯網也會擴充規模。企業需要做好承受攻擊的準備,安全管控機制必須能夠偵測足以發動攻擊的殭屍網路與規模。在應用周邊建立殭屍網路防衛是很重要的,同時也必須擁有一個可延展的 DDoS 防護方案。
攻擊者終將辨識出他們感染的是什麼系統,然後建立多用途殭屍網路。必須記住的一個重點是,攻擊者的目標是構築足夠規模的殭屍網路以發動攻擊,但他們並不知道他們接管的系統類別或者其擁有者是誰。這是一場數字遊戲,「誰」或者「什麼」對他們而言是無關的。他們只顧盡可能建構最廣大的網路,捕捉最多系統,讓殭屍網路盡可能的強大。我們的未來預期是:
● SOHO 路由器、遊戲機及其他資料處理能力好的IoT系統將出現升高的挖礦劫持。
● 勒索軟體攻擊將加大火力瞄準那些比較可能支付贖金的系統,例如用於管控關鍵功能 (工業控制系統、機場、醫院、賭場、ATM 等)之 IoT 系統的所有者。
● 更多攻擊瞄準那些屬於網路後門的 IoT 系統,例如行動網路閘道 (特別是車隊)、HVAC 系統、自動調溫器、IP 網路攝影機、販賣機、咖啡機等 – 你從未想到會有 Internet 連線的所有東西。被入侵的裝置將用於窺視和竊取資料與智慧財產。
● 間諜軟體瞄準工業控制系統 (可能包括敵對或友善國的資料收集)
● 針對性的網路戰爭,瞄準國家級關鍵工業控制系統,包括實體攻擊和間諜活動。
在達到任何有效的 IoT 安全保護之前,IoT 裝置製造商或者建置這些裝置的企業組織將面對實質的營收和成本風險。在你閱覽這份報告的時候,數百 app 將遭受攻擊。因此,F5 深知這份安全責任的工作,我們一心想要瓦解那些有效的攻擊方法,嚴謹監控 IoT 的成長和演變中的威脅。我們深入探究最新挖礦攻擊、分析銀行木馬目標、剖析入侵行為、獵捕最新惡意軟體。20 多年來,F5 一直領先應用交付市場,我們的專家團隊和你分享所有安全的研究成果,提供你所需的資訊與智慧以協助您確保應用安全。