年重大物联网安全事件回顾

执行摘要

随着物联网的不断发展，物联网安全也被越来越多的人所关注。我们于 2016 年发布《物联网安全 白皮书
》，进行物联网安全的科普介绍；并于 2017 年发布《2017 物联网安全年报》，关注物联网资 产在互联网上的暴露情况、设备脆弱性以及威胁风险分析。今年，我们持续深入研究物联网资产和威胁： 在资产方面，我们关注如何更精准地刻画暴露在互联网上的物联网资产分布情况；在威胁分析方面，我 们将重点类别的物联网资产关联从互联网上发现的异常事件，跟踪相关的物联网威胁，包括各类恶意攻 击和恶意家族。
首先，我们回顾了 2018 年 7 个影响较大的物联网安全事件。在 2018 年，攻击者利用漏洞编写恶 意软件感染大量物联网设备、在暗网买卖攻击服务、肆意发动破坏和勒索攻击。这些行为显然针对物联 网设备或由物联网设备发动的攻击，对国家关键信息基础设施
、大型企业和个人的安全构成了严重的威 胁，物联网总体安全形势依然严峻，处置和缓解物联网威胁任重道远。
我们在去年的报告中提到，互联网上暴露的各类物联网
设备累计高达 6000 万台，这是对端口进行 一年的扫描数据的统计结果。由于一年内多个扫描轮次中，物联网设备的网络地址可能会发生变化，通 过这种统计口径得出的数据不能反映物联网资产某段时间的真实暴露情况。为了解物联网资产准确的变 化情况，我们对比了多个扫描轮次的数据，有如下发现：
通过对国内路由器、摄像头
和 VoIP电话的资产变化数量对比分析，发现有至少 40% 的物联网资产 的网络地址处于频繁变化的状态中，而同时资产的网络地址所映射的网段只有 10% 发生变化。我们进 而对部分变化网段进行抽样分析，发现超过 90% 的抽样网段资产的网络地址采用拨号方式入网。那么 无论是描绘暴露物联网资产，还是追溯发动恶意攻击的设备，都不能忽考虑物联网资产网络地址的变化因素。
除了对于物联网资产暴露情况的深入研究外，我们对将近半年的全网扫描的物联网资产数据和绿盟 威胁情报中心（NTI）的威胁情报数据、可管理服务的安全设备
的日志告警信息，以及合作第三方的数 据进行关联，以统计并分析暴露在互联网上的物联网资产的风险和遭受威胁趋势。
分析近半年的物联网资产的行为可知，在所有设备和出现过异常行为的设备中，路由器和摄像头比 例均为最高，异常设备的行为主要以 DDoS 攻击、僵尸网络通信和扫描探测为主，存在这些行为的异常 物联网设备占所有异常物联网设备的 79.36%；在所有异常物联网设备中，开放 554 端口的摄像头数量最多，此类物联网设备的安全检查需要得到重点关注。物联网攻击体现出很强的家族属性，从蜜罐捕获 和僵尸网络跟踪的角度看，Mirai 和 Gafgyt 两大家族的物联网恶意样本数量最多，而从检测到的攻击行 为角度看，物联网僵尸主机家族的前两名是 Gafgyt 和 XorDDos。从全球角观察，不同国家的恶意物 联网设备发动的攻击手法具有差异性，以路由器为例，美国的异常路由器的主要以漏洞利用的手段被利 用，但巴西的主要以恶意挖矿为主等；聚焦国内，我们发现无论是物联网设备的总数，还是异常物联网 设备的数量，都与区域的经济发展水平有较强的关联，特别是第三产业。从厂商角度观察，2018 年 4 月份，MikroTik 路由器的漏洞披露后被利用进行恶意挖矿，我们在 10 月发现仍有大量 MikroTik路由器 在挖矿，导致 MikroTik是我们在 2018 年观察到设备被恶意利用最多的厂商。物联网安全一从设计之初 要考虑安全问题，二在体系建设时要在端管云都要做好防护，三在安全治理时要考虑大量存量的弱安全 设备，足见其任重道远，绝非一朝一夕可成。

在研究物联网暴露资产和跟踪威胁时，我们发现大量 UPnP 服务暴露在互联网上，沦为攻击者的利 用对象，成为 DDoS 攻击的重要来源。我们有如下发现：

全球有约 280 万台物联网设备开放了 UPnP SSDP 服务（1900 端口），存在被利用进行 DDoS 攻 击的风险，其中有 38.6% 的设备同时还开放了 UPnP SOAP 服务，在这些开放 SOAP 服务的设备中， 69.8% 的设备存在漏洞。由于 SOAP 服务缺乏鉴权机制，约 41 万台端口映射服务可访问的物联网设 备存在被入侵的可能。在这些设备中，有 8.9% 的设备被发现存在恶意的端口映射条目，例如会将内

网的 445 端口和 139 端口暴露在互联网上，而开启这两个端口服务可能存在遭受永恒之蓝、永恒之红 的攻击的风险，平均每个受感染的设备存在 282 条感染记录。我们发现两类添加恶意端口映射的家族

IntraScan 和 NodeDoS：IntraScan 试图将所有的内网端口都暴露在互联网上，全球有约 9 千台设备受 到感染；NodeDoS 存在两种恶意行为，一是映射到 8.8.8.8 的 53 端口，推测其将设备作为 DNS反射攻 击的肉鸡集群，二是映射到某色情广告平台，进行分布式广告点击从中获利，全球目前有约 600 台设 备受到感染。

我们通过全球部署的蜜罐研究 UPnP 攻击态势，通过对近两个月的数据进行分析，我们观察到1056 次 SSDP 反射攻击事件，此外还捕获到如 UPnP 的探测扫描、针对 CVE的远程代码注入等恶意行为。

纵观 2018 年，物联网安全事件频发，原因有三：第一，物联网设备本身风险高、易被利用，同时 大量暴露在互联网上；第二，DDoS 服务、勒索和恶意挖矿易变现且其低风险受到攻击者亲睐，攻击者 可利用开源的武器库快速组装恶意软件，进而扫描、渗透并控制物联网设备；第三，物联网的供应链长、碎片化严重，物联网厂商不具备所需的安全能力，安全厂商无法参与整个物联网产品的设计、实现、生 产和升级环节。此外物联网安全相关的标准、法律法规尚未完善，监管机构缺乏有效的落地方针。因而， 我们建议安全厂商、物联网厂商、物联网服务商、网络运营商及国家相关部门需要通力协作，从横贯云 管端安全的顶层设计，到具体产品的安全设计实现测评，从威胁预警和安全治理结合的监管体系，到产 业合作创建多赢的商业模式，携手共建物联网安全生态环境。

最后，我们有如下预测：

在未来几年中，随着国家大力推动 IPv6 战略，暴露在互联上的物联网资产数量可能会剧增，随之 而来的安全问题也会增多。并且物联网安全事件不会减少，甚至会因被黑产利用而增多。

由于互联网上暴露的物联网设备数量庞大，且相关漏洞层出不穷，物联网恶意家族 [^1] 如 Gafgyt、 Mirai 和 XorDDoS等较为活跃，且僵尸网络呈现出服务化、集中化，基本形成托管服务（DDoSaaS、 Ransomware-aaS、Cryptojacking-aaS），攻击者只需在暗网购买服务即可完成攻击，无需花费构建的 时间等，致使威胁进一步增大。相信由此类服务发动的攻击会频繁见诸报端。

由于很多网关类设备都开启了 UPnP 服务，而这些设备大多是遗留设备，短期内很难通过固件升级 或替换来解决相关安全问题，随着攻击者对于 UPnP 的认知逐渐加深，UPnP 带来的威胁将更加严重， 特别是针对家庭和企业的内部网络的攻击。

年重大物联网安全事件回顾

随着物联网设备数量的日趋增长，物联网设备的漏洞也逐渐被暴露出来。一些活动在暗网中的不 法分子，会寻找、利用或控制存在这些漏洞的物联网设备，进而发动恶意攻击。比如乌克兰电网中的 SCADA系统被入侵后，攻击者对乌克兰电网发动了断网攻击，这种破坏行为无疑是影响人民生活、社 会稳定甚至是国家安全的不安定因素。目前我们监测到的扫描、控制、攻击的行为，多为不法分子通过 利用设备漏洞，进而在设备上运行恶意软件实现的。一些恶意软件，如 Mirai、BrickerBot 等，已被公 开报道，为世人所知。

本章列举了 2018 年影响较大的物联网安全事件。通过回顾相关的安全事件，读者可了解到当前的 物联网安全形势 [^1]。

观点 1： 回顾 2018 年的重大物联网安全事件，攻击者恶意行为涉及感染物联网设备、买卖攻击服务、 肆意发动破坏攻击，这些行为表明针对物联网或由物联网发动的攻击对各国的关键信息基础设施安全构 成了严重的威胁，物联网安全形势依然严峻。

暗网出现利用物联网设备的 DDoSaaS

事件回顾

2018 年 2 月，Radware 的信息安全专家 Pascal Geenens 分析了一个 DDoS 攻击组织，该组织利 用一个名为 JenX 的恶意带软件感染的物联网设备发动 DDoS 攻击，目前他们已在暗网中出租 DDoS 服 务（DDoSaaS，DDoS as a Service）[1] ，服务价格如图 1.1 所示。尽管 JenX 感染的物联网设备数量 未知，但是从这个组织可以发起 290-300Gbps 的 DDoS 攻击来看，其控制的设备数量至少有 2.9 万台 （以每个设备对外最大上传带宽 10Mps 计算）。具体而言，JenX 可分别利用 CVE-2017–17215 和 CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek SDK 的设备，一般情况下，这类设备的带宽

约 100Mbps，上传带宽约 10Mbps。和完全分布式僵尸网络 Mirai 不同的是，该僵尸网络由服务器完 成漏洞利用和僵尸主机管理的任务。在 7 月，黑客利用 CVE-2017–17215 仅仅在一天内就构建了一个 18000 台僵尸网络主机构成的僵尸网络 [2] 。可见 JenX 的影响面之大。

参考资料

绿盟 2018物联网安全年报

友情链接

信通院 信息无障碍白皮书（2022年）