物聯網裝置殭屍網路趨勢分析

物聯網（IoT）殭屍網路作者正在適應更安全的物聯網裝置的轉變，這已經將攻擊者的注意力轉移到利用物聯網裝置的漏洞上。由於物聯網裝置安全性仍處於起步階段，因此發現命令注入等基本漏洞並不少見。

2018年11月，NetScout的Asert團隊成員通過部署蜜罐觀察到幾個舊的物聯網漏洞被用以傳遞惡意軟體。研究資料顯示，新型物聯網裝置遭受針對已知漏洞的攻擊需要不到一天的時間，而使用預設憑據(進入蜜罐)強行登入只需要不到5分鐘的時間。

主要發現

除了通常的強制路由之外，物聯網殭屍網路作者越來越多地將對物聯網相關漏洞的利用新增到他們的武器庫中。在某些情況下，攻擊者會通過嘗試利用已知漏洞為強行攻擊做後援。

由於修補物聯網裝置更新韌體的節奏之慢，部分相關漏洞在較長時間內都是有效的攻擊載體。

研究人員收集的資料顯示，從物聯網裝置上線到首次強攻開始，中間只需要不到5分鐘的時間。在24小時內，這些裝置開始接收針對已知漏洞的攻擊嘗試。

具體細節

使用基於物聯網的漏洞已經幫助殭屍網路開發者輕鬆地增加殭屍網路感染的裝置數量。例如，許多Mirai變體就中包括物聯網特定的漏洞。

根據研究人員的蜜罐資料，從漏洞公開到殭屍網路作者將其整合到殭屍網路中的週轉速度很快，新舊物聯網相關漏洞混合在一起。主要原因如下：首先，在購買之前，物聯網裝置可以在貨架上放置數週。如果為裝置釋出了安全更新，則在更新軟體之前不會將其應用於這些裝置，這會讓裝置啟動時即易遭受攻擊，能被迅速利用。蜜罐資料顯示，在有人掃描裝置並嘗試強力登入之前，裝置連線到網際網路只需幾分鐘。其次，物聯網裝置接收補丁的速度令人憂心。這些裝置一度被誤認為在安全性方面的工作可以“一勞永逸”。

在Hadoop YARN請求的衝擊下，研究者發現了一些與物聯網相關的老漏洞。這些漏洞包括CVE-2014-8361、CVE-2015-2051、CVE-2017-17215和CVE-2018-10561。圖1顯示了在11月試圖利用這些漏洞攻擊部署蜜罐的來源數量。

圖2中的示例顯示了使用CVE-2014-8361來提供Mirai的MIPS變體。正如在下面重點顯示的有效負載中看到的，該漏洞使用“wget”下載殭屍程式的副本並在易受攻擊的裝置上執行它。CVE-2014-8361於2015年4月公開披露，並已用於多個複雜物聯網殭屍網路，如Satori和JenX。

圖3是CVE-2017-17215的一個例子，它用於提供另一種Mirai變種。以類似的方式，可以看到濫用“wget”下載機器人並在易受攻擊的裝置上執行它。CVE-2017-17215還被用於幾個高調的物聯網殭屍網路中。此漏洞於2017年12月披露，並於2017年12月25日在exploit-db上釋出了概念驗證。

由於連線到網際網路的物聯網裝置數量龐大，因此查詢易受攻擊的裝置非常便捷。當易受攻擊的裝置被“開啟”並且應用安全漏洞的更新時，攻擊者可以快速收集大型殭屍網路。在大多數情況下，這些殭屍網路立即被徵召入DDoS大軍中。正如我們在2016年通過Mirai進行的DDoS攻擊所看到的那樣，建立大型物聯網殭屍網路並造成嚴重破壞並不需要花費大量精力。未來我們將繼續看到使用基於物聯網的漏洞的增加。更新像Mirai這樣的殭屍網路原始碼以利用這些漏洞的便利性起著重要作用。以最少的時間和資源建立更大的殭屍網路的能力就是我們看到物聯網殭屍網路數量趨勢變化背後的原因。