黑客伪造新冠病毒页面传播恶意软件

原理简述

假设 A与 B是两个曾经建立过连接
的正常蓝牙设备。假设攻击者的目标为
B，且攻击者知道 A的蓝牙 MAC地址。
则攻击者可以根据 A的 MAC地址伪造
一个只支持单边认证的设备 A´。如果攻
击成功，A´ 就可以与 B设备建立连接，
并进行传输数据等操作。 图 1.3　BIAS 攻击过程示例
是攻击者通过伪造蓝牙 master 设备发起的 BIAS攻击时的整个认证流程。受害者 Alice与 Bob 是正常通信的两个设备，攻击者 Charlie 伪造成 Bob 向 Alice发起连接时，虽然攻击者不知道共享 密钥 KL，但从认证流程中我们可以看出，攻击者只需要接收 Alice根据 KL派生出的会话密钥 RS 即可， Alice并没有对 Charlie 设备的真实性
进行验证。这就是 BIAS攻击所利用的协议栈弱点。根据报告，此漏洞影响多种蓝牙设备，包括多款 iPhone
、Macbook、iPad 的多个型号。#### 　事件分析
BIAS是第一个被披露的与蓝牙身份验证、连接降级相关的安全问题。因为蓝牙连接的建立不需要 用户交互，因此攻击非常隐蔽，危害性
很大，尽管蓝牙 SIG小组已经更新蓝牙核心规范来缓解这一漏洞， 但用户仍需谨慎，并持续关注厂商是否推出固件或软件补丁等修复措施。### 　DHDiscover ：可放大近 倍的新型反射攻击

事件回顾

2020 年 3 月，腾讯发布了一篇关于某 DVR被用于反射攻击的文章 [4]。在该次攻击事件中，攻击者 采用了一种新的 UDP反射攻击方法，利用的是某视频监控厂商的设备发现服务（因其探测报文中包含 DHDiscover 字符串，因此，我们将其称之为 DHDiscover 服务）。本次攻击流量规模超过 50Gbps，反 射源区域分布集中于美洲，亚洲，欧洲的众多国家和地区，尤其以韩国、巴西为重灾区。

原理简述

类似 WS-Discovery 服务，DHDiscover 被用于局域网内的设备发现，但是因为设备厂商的设计不当， 当一个外部 IP 地址发送服务发现单播报文时，设备也会对其进行回应，加之设备暴露在互联网上，则 可被攻击者用于 DDoS 反射攻击。DHDiscover 服务对应的端口号为 37810。DHDiscover 服务探测报文 长度为 62 字节，设备返回的内容中可以看到关于设备的很多信息，如 MAC地址、设备类型、设备型号、 HTTP Port、设备序列号、设备版本号等。
我们对 DHDiscover 反射攻击 [5]进行了跟踪，发现全球有约 31 万个 IP 开放了 DHDiscover 服务， 存在被利用进行 DDoS 攻击的风险，其带宽放大因子近 200 倍。

事件分析

反射攻击存在已久，随着防护能力的增强，攻击手段也在发生变化，并将注意力放在了一
些新的协议上。继去年的 WS-Discovery 反射攻击之后，DHDiscover 反射攻击成为今年出现的一种新的 攻击方法。这两个协议都与设备发现有关，需要引起大家的重视。
由于 DHDiscover 服务暴露数量较多，因此，我们也与相关厂商进行了联系。厂商给我们的反馈是， 其已经在产品中供了 Discovery 启用和关闭功能，但是由于出厂时并不知道客户在互联网还是受限网 络部署设备，因此默认这个功能是开启的，但客户可以选择将这个功能关闭，或者根据实际需求配置防 火墙规则。这种方案依赖于用户的主动介入进行配置，考虑到大量物联网设备运行时几乎没有安全运维， 所以其效果有限。
设备发现类协议设计的初衷是方便局域网内的设备发现，所以，一般在进行设备发现时，采用的是 多播地址。因此，我们认为比较理想的设备发现报文回复策略为：

1. 对多播报文进行回复。
2. 如果是单播报文，判断发送方的 IP 地址是否和设备的 IP 地址在同一网段，如果在同一网段则 回复。也可以把这一策略改为判断发送方的 IP 地址是否为局域网 IP 地址。
3. 若不为 1、2，则不回复。同时，设备加入 Discovery 回复任意单播报文的功能，可在需要时由 用户开启，但是设备出厂时默认关闭该功能。

黑客伪造新冠病毒页面传播恶意软件

事件回顾

2020 年 3 月，研究人员发现有攻击者通过攻击 D-Link与 Linksys 路由器的方式，劫持用户的网络 访问并重定向至伪造的新冠病毒主题页面，通过虚假告示信息诱骗用户下载恶意软件。据发现者统计， 截至 3 月 18 日，已经有逾 6000 人次下载了攻击者提供的恶意软件。

原理简述

研究人员认为，攻击者通过弱密码枚举的方式入侵上述品牌的路由器，然后修改 D-Link、Linksys 路由器中的 DNS 配置，将用户流量牵引到恶意页面。当用户连接网络时，用户终端的 Captive Portal Detection 特性会弹出恶意页面，其中攻击者以世界卫生组织 WHO的口吻，示用户下载名为 COVID-19 Inform App的恶意软件。这个恶意软件的本质是 Oski Stealer 窃密木马，包括从用户浏览器 数据中提取登录凭据、窃取加密货币钱包密钥等功能。

事件分析

路由器是家庭用户与互联网之间的第一道防线，也是攻击者觊觎的首个风险点。修改路由器的默认 管理密码，关闭路由器的对外暴露的服务端口，减少攻击面，可以有效缓解此类攻击。

小结

本章回顾了 2020 年出现的 9 个物联网安全事件，其中前三个与物联网设备的漏洞相关，无论是影 响数亿设备的 Ripple20 漏洞、CallStranger UPnP 漏洞，还是影响数百万设备的 OpenWrt RCE 漏洞，一 方面表明对物联网设备而言，协议制订、底层软件实现以及供应链的任意一环出现漏洞，都可能影响数 量庞大的物联网设备；另一方面对攻击组织而言，将物联网设备相关漏洞利用纳入武器库，利用某一个 漏洞即可感染数量相当的僵尸主机，收益极高。此外，CallStranger UPnP 漏洞的曝光也表明，物联网 使用的协议簇复杂、服务繁多，极有可能存在某些漏洞可被攻击者用于新型 DDoS。
BadPower、特斯拉废弃零件泄露隐私、智能门锁存在安全问题和蓝牙冒充攻击四个事件表明物联 网安全绝不存在定式。BadPower 事件改变了大众对于物联网安全范围的认值，一个小小的充电器也能 被黑客利用，成为手机、电脑的杀手；特斯拉废弃零件泄露隐私事件给车企和大众敲响了警钟，隐私问 题涉及方方面面，当然会包含物联网的各类应用；门锁关乎人身财产安全，若智能门锁制造商不关注自 身产品安全，将门锁暴露在互联网上，还不采取相应的安全机制，用户又何来购买智能门锁的信心；影 响数十亿设备的蓝牙冒充攻击，说明无线安全作为物联网安全重要的一环，不容忽视。
最后，DHDiscover 反射攻击和为何伪造新冠病毒页面传播恶意软件事件与黑客利用物联网设备进 行的攻击有关。近年来，僵尸网络“推陈出新”，不断改变攻击手法，利用物联网服务进行 DDoS 反射 攻击。DHDiscover 反射攻击利用了设备厂商的私有协议，物联网设备的发现协议通常基于 UDP设计， 一旦大规模暴露在互联网上，极有可能被用作反射攻击，需要引起重视。而劫持路由器，利用社会热点 诱导用户下载恶意软件，则说明攻击者已不满足利用物联网设备进行 DDoS，已经开始以物联网设备为 入口，采用社会工程学的方式，来窃取加密货币等更多资源，应警惕这种攻击手法。
针对和利用物联网设备进行的攻击已非常活，物联网设备庞大的数量注定了它们是未来的攻防重 地。对攻击者而言，攻击投入小、收益高、手段更新快；对安全团队而言，研究范围广，不能思维僵化； 对消费者而言，增强安全意识，购买安全的物联网产品。物联网安全仍需多方共同努力。

2.　物联网资产暴露情况分析

物联网资产暴露情况分析

引言

从 1.3 节的安全事件我们可以看出大量互联网上暴露的物联网设备和服务，已成为攻击者发动大规 模 DDoS 攻击的首选。在物联网攻击事件频发的背景下，对这些资产进行分析和梳理是有必要的。细粒 度的识别物联网设备能够为进一步对设备的属性研究及安全分析供数据支撑，针对不同类别、环境等 因素寻找物联网设备的安全漏洞，从各个方面和角度进一步采取有效的安全措施，可以加强物联网设备 的安全防护和修补。只有尽可能掌握物联网资产信息，在安全防护上才能做到“量体裁衣”。此外，在 威胁狩猎方面，如果我们捕获了被恶意利用的物联网设备，并已经对这些设备做到精准识别，那就可以 通过指纹找到互联网上暴露出的该类型全部的设备，并将其列入重点观测对象，通过前的预防策略减 低未来攻击的风险。网络安全风险评估始于资产识别，所以能否对物联网资产进行精准的识别对安全研 究有着重要意义。

物联网资产暴露情况分析

物联网资产标记方法介绍

观点 2：物联网的资产变化快、种类碎片化，导致物联网资产识别边际成本极高，从而给物联网安全治 理带来困难。我们通过人工智能与专家标记相结合的方法对国内全部的 HTTP（s）数据进行处理，发 现了约 50 万个业界未识别的物联网资产，是原有标记数量的 2 倍，要达到高覆盖、准识别仍需要不断 持续运营。
目前常用的资产标记方法主要有两种。第一种是基于 Banner 人工匹配的识别方法，对指定厂商或 者类型的物联网设备有较好的识别效果，但是很难发现新出现和小众的物联网设备，需要不断的维护已 知物联网设备信息，投入人力成本也比较高。第二种是基于机器学习的物联网设备识别方法，虽然高 了设备识别的自动化程度，但是识别粒度较粗，很难对每类物联网设备做到非常细化的识别，并且物联 网设备种类繁多，物联网特征向量的取也是需要攻克的难点。要想解决好互联网上物联网设备识别的 问题，必定需要机器学习和人工标记的结合。本节介绍一种完全覆盖的思路来标记物联网资产方法，通 过机器学习聚类和人工标记结合快速准确的发现暴露的物联网资产指纹。
具体的，首先对使用扫描组件对国内网段进行探测，通过机器学习聚类算法对处理后的 Banner 数 据进行文本聚类，得到相似的高置信度的资产类别，然后采用人工标记的方式对各个资产类进行标记， 产出物联网指纹和非物联网资产指纹。通过不断运营标记迭代，实现对目前数据的资产标记的全面覆盖。

资产标记流程如图 2.1 所示：
网络空间资产数据 数据预处理
文本向量化 物联网 /非物联 Banner聚类
网特征库
类别 1 … 类别 n
非物联网资 产特征提取
人工标记
否 是否为物联网资产类
是
资产指纹输出
图 2.1　基于资产聚类与人工标记相结合的资产标记过程
主要针对国内的开放 web 服务的资产数据作为标记的目标数据集进行标记实践，采用机器学习资 产聚类的方法，两个轮次迭代标记共发现 352 个物联网设备指纹、36 种设备类型以及 137 个物联网厂商， 共发现国内 498401 个物联网设备。具体每轮的标记结果如表 2.1 所示。
表 2.1　通过聚类发现的物联网设备情况

标记轮次				发现厂商
第 1 轮标记				91
第 2 轮标记				46
发现指纹数量	标记总数量	发现设备类型
-	-	-
251	317622	25
101	170779	11
在覆盖度方面，第一轮标记后发现的物联网资产占 6%，待处理的占 21%（没有任何标签的）。第 二轮标记发现物联网资产增加 3%，待处理减少 5%，这说明随着迭代次数提升，我们的标记覆盖度也随 之提升。

图 2.2　两个标记轮次的各个部分数据占比情况（左为第一轮）
每个标记轮次发现的物联网资产数量趋势如图 2.3 所示，从标记数量折线来看，发现的资产数量增 速随着标记轮次逐渐变缓，随着标记轮次的增加发现的物联网设备数量也趋于平稳，近似等于目标数据 集中存在的物联网设备数量。通过该方法标记的物联网资产是原有标记数量的两倍。由此可见，基于资 产聚类和人工标记相结合的方法可以尽可能的发现目标数据集中所有的物联网资产，在识别覆盖度方面 有较好的效果。
图 2.3　基于机器学习的物联网资产标记趋势（国内）

参考资料

绿盟 2020物联网安全年报

友情链接

GB-T 24363-2009 信息安全技术 信息安全应急响应计划规范