变化资产的 ASN分布情况
变化资产的 ASN分布情况
观察 3: 国内运营商中,国信比邻、广东省联通的物联网资产变化率最高,达 60%以上,导致这 一现象原因可能与资产的分布以及运营商的具体业务有关。
上文初步得出,物联网设备可能会采用拨号上网的方式入网,这样会导致物联网资产的网络地址发生变化,接下来分析变化的物联网资产运营商的分布情况。通过查询网络地址所属的 ASN号码 [^1],可以 准确确定其所属的运营商信息。抽取部分轮次的 80 端口路由器和 554 端口摄像头变化的资产,并将变 化资产的网络地址与 ASN数据库进行关联统计,由于部分运营商的网络地址总量较大,考虑增加统计 结果的直观性,所以对变化的资产与该运营商总量的占比情况进行统计,经过统计发现,ASN为中国 电信骨干网(CHINANET-BACKBONE)的资产数量最多,绿盟科技发布的《2017 年物联网资产暴露报告》 中提到了了长三角、珠三角等经济发达的地区物联网资产暴露资产数量比较多,再结合中国南方地区主 要是电信用户,这个 ASN分布与之前的统计结果也相吻合。
具体的变化资产占比情况如图 2.20 和图 2.21 所示,抽取的 80 端口的路由器变化资产,其中 ASN 占比最多是北京国信比邻,变化资产数量共 5624 个,占该 ASN资产总量的 63%;抽取的 554 端口的 摄像头变化资产 ASN占比最多的是中国广东省联通,变化资产数量共 4159 个,占该 ASN资产总量的 70%。猜测导致这一现象的原因,一方面可能与国内的物联网资产的分布有关,另一方面与具体运营商 的产品和服务有关。如果扫描的时候能对物联网资产数量较多且变化较快的 ASN加大关注度,对掌握 物联网资产的真实暴露情况也是有帮助的。因为篇幅有限,仅对部分变化的资产的 ASN分布进行分析, 我们可能在以后的报告或文章中做详尽的分析。
国内物联网资产真实暴露情况
根据上文分析可知,部分的互联网上暴露的物联网资会频繁变化,所以如果采用历史暴露资产数据 表示当前的实际资产数量,必然会虚高,我们认为使用国内一轮扫描的数据作为暴露数据,更能真实的 描绘互联网的物联网设备暴露情况。于是取扫描数据较为稳定的 2018 年 10 月份的一整轮数据,具体 如图 2.22 所示,与上文中的累计暴露数据对比来看,国内摄像头的暴露数量从 470 万下降 130 万左右; 路由器数量下降更为明显,从 420 万下降到 46 万;VoIP 电话数量从 100 万下降到 21 万,总体来说单 轮扫描资产相比累计暴露数量均有大幅的下降,这个数量差距同样也可以反映出互联网暴露的资产变化 情况。累计的暴露资产数据的和某一时刻的暴露资产数据,能在不同维度上描绘暴露情况,所以使用者 应根据所需场景择优选择。
小结
从物联网资产暴露概况到资产变化分析,再到变化原因分析,我们一步步佐证了大量暴露的物联网 资产的网络地址一直处于频繁变化中的推论。资产地址频繁变化会带来具体的影响,一方面,在物联网 设备相关的威胁分析中,如果不考虑资产的网络地址变化因素,那么部分物联网资产威胁关联出现错误, 所以攻击事件的时间区间与物联网资产扫描发现的时间区间应互相吻合,或者获知资产的地址变化范围, 编写合理的匹配算法,提高互联网上暴露资产威胁分析的准确程度。另一方面,全球有上百亿个设备, 却只有 40 多亿个网络地址,中国只分到了 3.3 亿个公网地址,所以运营商提供动态拨号入网等方式, 来解决网络地址不足的问题。
2018 年国家已经开始大力推进 IPv6 的建设,这将给当前的互联网带来很大的影响。例如使用 IPv6 后,就不需要使用 NAT机制来弥补地址量不足的问题,每台设备均有独立的网络地址,所以物联网资 产的暴露数量可能会剧增,面临的整体暴露风险加大,但同时资产地址变化的频率会大大减少,为威胁 跟踪降低了难度。
物联网资产风险和威胁统计
本章在绿盟科技《2017 物联网安全年报》公布的物联网资产暴露情况的基础上,更深层次地分析 物联网设备风险及威胁的情况。相关数据 [^1] 来源主要为 NTI的威胁数据、在线安全设备的日志告警数据、 全网扫描数据,以及合作第三方数据。其中在线设备日志告警数据主要包括接入在线运营服务的 IPS、 WAF等设备告警日志;全网扫描的数据包含了已识别的物联网设备(路由器、摄像头、VoIP电话、打 印机等)的网络地址、开放端口等信息。
本章将物联网设备信息与 NTI的威胁数据、设备日志告警数据和物联网资产数据等进行关联,进而 发现物联网资产的规模和物联网威胁资产的威胁信息,再对威胁信息进行更加细粒度的分析,得到异常 物联网设备 [^2] 的类型、区域等维度的分布。
异常物联网设备分析
从上一章的内容可知,大量的物联网设备的网络地址会频繁变化,为了获得尽可能多的威胁匹配结 果,本章内容涉及的分析基于全球累积的物联网设备资产,即 2.1 节中所述的 5100 万物联网设备,而 非第三章讨论的短期存活物联网设备数。
在此 5100 万台物联网数据中,路由器约为 2700 万台、摄像头约为 2100 万台、VoIP电话约为 131 万台,打印机约为 47 万台。将这些物联网设备的网络地址加端口作为关键字与 NTI的威胁数据和设备 日志告警数据进行检索,发现其中约 36 万台设备发生过异常行为,在后续章节中我们将其作为异常物 联网设备集合进行分析。
在异常物联网设备中,最多的是摄像头和路由器,均在 16 万台以上,其他如 VoIP电话在 1.8 万台 左右,打印机在 0.1 万台左右。接下来我们将根据异常行为类型、设备类型、开放端口和恶意挖矿对上 述物联网设备进行分析,并对 2018 年 4 月份发生的 MikroTik路由器遭到挖矿恶意软件攻击沦为挖矿帮 凶的事件进行后续跟踪分析。
设备类型分析
观察 4: 异常 VoIP电话占全部 VoIP电话的 1.40%,为最容易被利用的物联网设备类型,但数量较少; 而异常摄像头和打印机的比例虽小,但基数庞大,该两类异常设备总数占总异常设备的 94%以上,需 要重点关注。
本节首先对前述 5100 万物联网设备的类型进行分析,通过图 3.1 可知,路由器占 54.82%、摄像头 占 41.67%、VoIP 电话占 2.59% 和打印机占 0.93%。因此当前全网已识别的物联网设备中,前两名的设 备类型为路由器和摄像头。
随后,我们对 36 万台异常物联网设备的类型进行分析。通过对 NTI的威胁数据和设备告警数据进 行关联之后发现:路由器和摄像头占 47%、VoIP 电话占 5% 和打印机占 1%,如图 3.2 所示。接下来, 我们进一步分析异常物联网设备占该类型的全部设备的比例发现,VoIP电话中异常物联网设备占其总
数的 1.40%、摄像头中异常物联网设备占 0.86%、路由器中异常物联网设备占 0.58% 和打印机中异常物 联网设备占 0.26%。 VoIP 电话是异常占比最高的物联网设备类型,可见 VoIP电话是最容易被利用的物 联网设备。虽然摄像头和路由器的异常比例较小,但由于其基数在 2 千万台以上,所以这两类异常设备 数量均大于 15 万台,异常摄像头和异常路由器之和占当前所有异常物联网设备总数的 94% 以上,占绝 大多数。
攻击类型分析
通过 3.2.1 节设备类型分析可知,异常的物联网设备主要是摄像头和路由器,最容易被利用的是 VoIP电话,接下来将从异常行为的角度对这些异常物联网设备进行分析。
观点 4: 利用物联网设备主要进行的恶意行为是 DDoS 攻击,还包括僵尸网络通信和扫描探测异常 行为,进行过上述三种行为的异常物联网设备占所有异常物联网设备的 79.36%。
我们对检测到的异常物联网设备的恶意行为进行分析,结果如图 3.3 所示,其中横坐标中的异常行 为简单解释如下:
图 3.3 异常物联网设备异常行为
120000
104417 101619
100000 94281
80000 
60000
43918
40000 29398
19713
20000 13379
物联网设备数量(台) 
176 
0 
DDoS攻击 扫描探测 漏洞利用 恶意挖矿 Web攻击 僵尸网络通信 发送垃圾邮件传播恶意软件异常行为类型
- DDoS 攻击:(DDoS,Distributed Denial of Service)大量设备同时对一个或多个目标发动拒绝 攻击,使其工作异常;
- 僵尸网络通信:受恶意软件感染后受控于黑客的主控端(C&C, Command and Control),僵尸 主机可随时按照黑客的指令发动拒绝服务攻击或发送垃圾信息等恶意行为;
- 扫描探测:发起网络扫描的异常行为;
- 漏洞利用:利用漏洞执行的恶意行为;
- 发送垃圾邮件:发送垃圾邮件的恶意行为;
- 传播恶意软件:通过提供有危害性软件下载的恶意行为来传播恶意软件;
- Web 攻击:针对 Web 服务器进行攻击的恶意行为,如 SQL注入等。
- 恶意挖矿:节点被恶意代码感染后,直接或劫持终端节点进行非授权的挖矿,造成计算能力被 恶意消耗。
其中,僵尸网络通信是僵尸主机所表现出来的特征行为,扫描探测是攻击者寻找潜在脆弱节点的常 见手法,而其他均为恶意攻击或恶意行为,所有行为统称异常行为。
读者也许会发现,图 3.3 中所有异常类型的数量总和大于异常设备总数(36 万),其主要原因是某 些物联网设备在被利用时,会执行不止一种异常行为,多被多种检测机制所发现,因此异常行为总数大 于异常物联网设备总数。例如,图中显示异常物联网设备发生最频繁的三类行为是:DDoS 攻击、僵尸 网络通信和扫描探测异常行为。而有相当一部分的 DDoS 和扫描探测是由僵尸网络发起的,所以僵尸网 络通信与前述两类恶意攻击存在较大的相关度,僵尸主机进行多种异常行为时均可被检测到。
3.2.1 节提及 VoIP电话为最容易受到攻击的物联网设备,而异常路由器和摄像头数量最多,下面将
对这三类设备发起的异常行为类型做进一步分析,如图 3.4 所示。
通过异常物联网设备集合中的 VoIP电话的数据进行提取,并分析其进行的异常行为可知,当前的 VoIP电话被检测到的恶意攻击主要是 DDoS 攻击,其他异常行为主要是僵尸主机通信;摄像头被检测 到的恶意攻击主要是 DDoS 攻击,其他异常行为主要是僵尸网络通信和扫描探测;路由器被检测到的恶 意攻击主要是 DDoS 攻击、恶意挖矿和漏洞利用,其他异常行为主要是扫描探测和僵尸网络通信。
图 3.4 主要异常物联网设备行为分析
12000
9941
10000 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4BUWIM7V-1665483027290)(http://public.host.github5.com/imgs/img/pdf482.pdf.013.png)]
8000
6188
6000 
4000
2000 1468 1232
物联网设备数量(台)
438 206 65 16
0
DDoS攻击 漏洞利用 扫描探测 恶意挖矿 Web攻击
僵尸网络通信 发送垃圾邮件传播恶意软件
异常行为类型 (a)VoIP 电话的异常行为
60000
54456
49365
50000
43556 40000
30000
20000 17274
10359
物联网设备数量(台)10000 7428
2522
98 0
DDoS攻击 扫描探测 漏洞利用 恶意挖矿 Web攻击
僵尸网络通信 发送垃圾邮件传播恶意软件
异常行为类型 (b)摄像头的异常行为
44
60000
49227
50000 44710
40746
40000
30000 26806 24824 20000
8888
10000 5696
物联网设备数量(台)
62 0
扫描探测 DDoS攻击 恶意挖矿 漏洞利用 Web攻击
僵尸网络通信 发送垃圾邮件传播恶意软件
异常行为类型 (c)路由器的异常行为
综上所述,异常 VoIP电话、摄像头和路由器主要的恶意行为是进行 DDoS 攻击,此外,VoIP的异 常行为主要是僵尸网络通信,异常摄像头的异常行为主要还包括僵尸网络通信和扫描探测,其中僵尸网 络通信最为活跃,异常路由器的异常行为主要是扫描探测和僵尸网络通信,其中扫描探测最为活跃。恶 意挖矿的恶意行为主要出现在路由器上,这也是与公开报道一致的。
参考资料
绿盟 2018物联网安全年报