协议威胁观察本节我们选取了三个被攻击利用较多的协议进行分析。 6.1.2.1 针对 Telnet 协议的威胁观察
在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23)是被攻击者攻击最多的 源 12 万个。图 6.3 为 2019 年 3 月到 10 月的攻击源的活跃情况。从中可以看出, 月增加,8 月活跃的攻击源最多,数量高达 6 万多个,其中弱口令探测行为有 本下载的行为最多,高达 4 万多个。整体来看,后半年攻击源的数量有所减少。 [^1] 。我们共发现攻击 Telnet 的利用情况逐 5 万多个;另外,6 月样
7000 0 45004118 3366 61526 4000 60000 54779 53347 3500 50000 40730 3000 40000 34045 47840 2500 30000 24975 35196 30701 2000 24619 29694 1324 23237 1500 20000 11622 22921 1947 1254 1000 10582 16890 10000 817 831 500 482 0 0 3月 4月 5月 6月 7月 8月 9月 10月 所有攻击源 弱口令探测攻击源 样本下载攻击源 图 6.3 Telnet 攻击源的活跃情况 我们从地理位置维度对攻击源进行分析,得到攻击源所在的国家 Top 10,如图 6.4 所示,可见处于 中国和美国的攻击源最多。 越南 韩国 法国 印度 3% 3% 2% 3% 俄罗斯 4% 埃及 4% 其他 巴西 40% 7% 美国 11% 中国 23% 图 6.4 Telnet 攻击源国家分布情况 通过与绿盟威胁情报中心(NTI)中的资产情报数据相关联,我们发现这些攻击源有 29% 为物联网 设备。如图 6.5 所示,主要设备类型是频监控设备和路由器 ,分别占比 47% 和 42%。由此可见
频监控设备和路由器是最容易被攻击源入侵控制的物联网设备。 VoIP设备 路由器 5% 42% 打印机 5%其他 视频监控设备 1% 47% 图 6.5 Telnet 攻击源设备类型分布 弱口令爆破是攻击者攻击 Telnet 的主要方式,因此我们重点对弱口令的利用情况进行了分析,发现 很多物联网设备都是被爆破弱口令攻击后成为受控失陷主机的。爆破弱口令 Top10 如表 6.2 所示,其中, root-vizxv 曾被曝过可以直接登陆某安防监控设备后台,root-t0talc0ntr0l4! 是 Control4 智能家居 设备的 默认凭证,root-taZz@23495859 是 Mirai 变种“Asher”用来感染路由器最常用的弱口令之一。表 6.2 Telnet 爆破弱口令 Top 10
排名 | 弱口令 | 使用次数 |
---|
1 | root-admin | 12,291,162 | 2 | root- | 7,838,125 | 3 | root-default | 2,096,372 | 4 | root-vizxv | 1,865,957 | 5 | root-xc3551 | 1,749,530 | 6 | root-t0talc0ntr0l4! | 1,380,050 | 7 | root-taZz@23495859 | 1,050,663 | 8 | root-1001chin | 775,692 | 9 | root-ttnet | 621,732 | 10 | root-linuxshell | 575,180 |
6.1.2.2 针对 WS-Discovery 协议的威胁观察 WS-Discovery(Web Services Dynamic Discovery)是一种局域网内的服务发现多播协议,但是因 为设备厂商的设计不当,当一个正常的 IP 地址发送服务发现报文时,设备也会对其进行回应,加之设 备暴露在互联网上,则可被攻击者用于 DDoS 反射攻击。今年 2 月,百度的安全研究人员 1 发布了一篇 关于 WS-Discovery 反射攻击 2 的文章。这是我们发现的关于 WS-Discovery 反射攻击的最早的新闻报道。 ZDNet 的文章 3 中提到,今年 5 月也出现过利用 WS-Discovery 的反射攻击,到今年 8 月的时候,有多 个组织开始采用这种攻击方式。Akamai 4 提到有游戏行业的客户受到峰值为 35 Gbps 的 WS-Discovery 反射攻击。 全球有约 91 万个 IP 开放了 WS-Discovery 服务,存在被利用进行 DDoS 攻击的风险,其中有约 73 万是视频监控设备,约占总量的 80%。 网络存储设备 10.8% 打印机 4.5% 视频监控设备 79.5% 不确定 5.2% 图 6.6 开放 WS-Discovery 服务的设备类型分布情况 图 6.7 是开放 WS-Discovery 服务的设备国家分布情况,从中可以看出,开放 WS-Discovery 服务的 设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。 1 基于 ONVIF协议的物联网设备参与 DDoS 反射攻击 , https://www.freebuf.com/articles/system/196186.html 2 原文中的表述是 ONVIF反射攻击,但我们经过分析后发现除 ONVIF设备外,打印机等也有可能参与其中。ONVIF在设备发现阶段 是基于 WS-Discovery 协议进行通信的。从反射攻击的角度来看,攻击者并非只针对 ONVIF设备。虽然百度并没有提 WS-Discovery 反射攻击,但我们认为这是对于 WS-Discovery 反射攻击的首次报道。 3 Protocol used by 630,000 devices can be abused for devastating DDoS attacks, https://www.zdnet.com/article/protocol-used-by- 630000-devices-can-be-abused-for-devastating-DDoS-attacks/ 4 NEW DDOS VECTOR OBSERVED IN THE WILD: WSD ATTACKS HITTING 35/GBPS, https://blogs.akamai.com/sitr/2019/09/new- DDoS-vector-observed-in-the-wild-wsd-attacks-hitting-35gbps.html
意大利 法国 波兰 墨西哥 1% 2% 2% 2% 阿根廷 土耳其 2% 1% 罗马尼亚 3% 俄罗斯 3% 其他 哥伦比亚 27% 3% 韩国 印度 8% 中国 5% 14% 美国 9% 越南 巴西 10% 9% 图 6.7 开放 WS-Discovery 服务的设备国家分布情况 我们对绿盟威胁捕获系统捕获的攻击事件进行了分析,如图 6.8 所示,这里我们将一天内一个独 立 IP 相关的事件看作一次攻击事件,攻击事件的数量我们将以天为单位进行呈现。直观来看,WS- Discovery 反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速。这说明 WS-Discovery 反 射攻击已经逐渐开始被攻击作为一种用于 DDoS 攻击的常规武器,需要引起相关如安全厂商、服务提供 商、运营商等机构足够的重视。 35 30 25 20 15 10 事件数量(个) 5 0 8/2 8/4 8/6 8/8 9/1 9/3 9/5 9/7 9/9 7/257/277/297/31 8/108/128/148/168/188/208/228/248/268/288/30 9/129/149/169/189/20 日期 攻击事件 图 6.8 WS-Discovery 反射攻击事件变化情况
WS-Discovery 反射攻击的受害者国家分布情况如图 6.9 所示,我们观察到共有 24 个国家和地区受 到过攻击。从图中可以看出,中国是受害最严重的国家,其占全部受害者 IP的 33%;排在第二位的是美国, 占比为 21%。 加拿大 2% 巴西 2% 其它 印度 13% 3% 中国 法国 33% 5% 英国 6% 美国 德国 21% 8% 菲律宾 7% 图 6.9 WS-Discovery 反射攻击受害者的国家分布 6.1.2.3 针对 UPnP 协议的威胁分析 UPnP 是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,从而 使网络(尤其是家庭网络)对更多的人成为可能。因此,很多路由器都开放了 UPnP 服务。在 UPnP 协 议栈中,使用 SSDP 协议进行局域网内设备发现,使用 SOAP协议进行设备控制。更多关于 UPnP 基础 知识、脆弱性的介绍可以参看绿盟科技《2018 物联网安全年报》1 。 设备开放 UPnP SSDP 服务暴露数量最多的五个国家是中国、韩国、委内瑞拉、美国与日本,同时 我们发现俄罗斯的暴露数量相比去年下降了 84%,推测俄罗斯的相关部门推动了对于 UPnP 的治理行动。 1 2018 物联网安全年报,http://www.nsfocus.com.cn/content/details_62_2916.html
600000 500000 400000 300000 200000 100000 0 中国 其他 韩国 美国 日本 越南 巴西 希腊 印度 加拿大俄罗斯 乌克兰 阿根廷 意大利 委内瑞拉 哥伦比亚 阿尔及利亚 2018年12月 2019年10月 图 6.10 开放 SSDP 服务设备的国家分布情况 SOAP服务可访问的设备占 UPnP 设备总量的 46.9%,这些设备中,61% 的设备存在中危及以上的 漏洞,攻击者可以通过漏洞获取对这些设备的完全控制权,或利用漏洞发动攻击使设备崩溃。 100% 1400000 90% 1200000 80% 70% 1000000 60% 800000 50% 40% 600000 设备总数量 30% 400000 SOAP可访问设备占比 20% 200000 10% 0% 0 IGD libupnpAltiDLNA Realtek Net OS SmartICTDLNADOC Synology miniupnpdBroadcom Unspecified UPnP devices SOAP可访问 SOAP不可访问 设备数量 图 6.11 UPnP 设备各 SDK设备可访问性统计
在开放端口映射的约 39 万台设备中,总共有 6.3 万台设备中发现了一种以上的恶意行为,部分设 备受到多种恶意行为入侵,其中约 4.5 万台设备中发现了内网入侵行为,约 3 万台设备中发现了恶意代 理行为。图 6.12 列出了设备量最多的几个国家的设备数量对比与恶意行为的感染占比。中国的服务暴 露总量和受感染的设备数量均居首位。 30000 90000 80000 25000 70000 20000 60000 50000 15000 40000 10000 30000 IP数量(有映射) 20000 IP数量(无映射) 5000 10000 0 0 中国 韩国 美国 越南 巴西 日本 印度 阿根廷 意大利 俄罗斯 哥伦比亚 未感染 已感染 无映射 图 6.12 暴露端口映射设备恶意行为感染情况国家分布 我们共捕获到 4 种针对 UPnP 漏洞的利用行为 1 ,如表 6.3 所示。从中可以看出,这些漏洞均为远 程命令执行类漏洞。另外我们也发现,当漏洞出现在特定端口时,攻击者一般不会经过 UPnP 的发现阶 段,而是会选择直接对该特定端口进行攻击。 1 需要说明的是,由于 UPnP 的 SOAP服务端口众多,而 SSDP 服务中只能标识一个 SOAP端口,因此,我们主要是对 SOAP相关端 口进行了监听。如果攻击者首先进行 SSDP 服务发现,再根据服务发现内容决定下一步是否要进行攻击,我们则可能无法对其进行 捕获。
59
表 6.3 UPnP 漏洞利用情况(按源 IP 去重排序)
Exploit-DB 编号 | 漏洞公开年份 | CVE编号 | 漏洞描述 |
---|
43414 | 2017 | CVE-2017-17215 | Huawei Router HG532 - Arbitrary Command Execution | 37169 | 2014 | CVE-2014-8361 | Realtek SDK - Miniigd UPnP SOAP Command Execution | 37171 | 2015 | CVE-2015-2051 | D-Link Devices - HNAP SOAPAction-Header Command Execution | 28333 | 2013 | N/A | D-Link Devices - UPnP SOAP TelnetD Command Execution | 对 UPnP 日志中的源 IP 去重之后,我们发现对 UPnP 漏洞进行过利用的 IP 约占所有 IP 的 29.6%。 我们对去重之后的源 IP 的国家分布进行了分析,从图 6.13 中可以看出, 位于中国的攻击源最多。更进 一步我们发现,来自中国攻击行为的 90% 位于自台湾省,中国大陆地区的攻击源量级与俄罗斯、美国 等国家的量级相当。 | | | | 英国 乌克兰 印度 巴西 土耳其 越南 阿根廷 美国 俄罗斯 中国 | | | | 1 10 100 1000 10000 100000 | | | | 图 6.13 UPnP 类日志攻击源 IP 的国家分布情况 | | | |
参考资料
绿盟 2019年网络安全观察
友情链接
CSA 2020云身份安全现状
|