物联网

协议威胁观察本节我们选取了三个被攻击利用较多的协议进行分析。
6.1.2.1 针对 Telnet 协议的威胁观察

在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23)是被攻击者攻击最多的 源 12 万个。图 6.3 为 2019 年 3 月到 10 月的攻击源的活跃情况。从中可以看出, 月增加,8 月活跃的攻击源最多,数量高达 6 万多个,其中弱口令探测行为有 本下载的行为最多,高达 4 万多个。整体来看,后半年攻击源的数量有所减少。
[^1] 。我们共发现攻击 Telnet 的利用情况逐
5 万多个;另外,6 月样

7000
0 45004118
3366 61526 4000 60000
54779 53347 3500 50000
40730 3000 40000 34045 47840 2500
30000 24975 35196 30701 2000 24619
29694 1324 23237 1500 20000 11622 22921 1947 1254
1000 10582 16890
10000 817 831 500
482
0 0
3月 4月 5月 6月 7月 8月 9月 10月
所有攻击源 弱口令探测攻击源 样本下载攻击源
图 6.3 Telnet 攻击源的活跃情况
我们从地理位置维度对攻击源进行分析,得到攻击源所在的国家 Top 10,如图 6.4 所示,可见处于 中国和美国的攻击源最多。
越南 韩国 法国 印度 3% 3% 2%
3%
俄罗斯 4%
埃及 4%
其他 巴西
40% 7%
美国 11%
中国 23%
图 6.4 Telnet 攻击源国家分布情况
通过与绿盟威胁情报中心(NTI)中的资产情报数据相关联,我们发现这些攻击源有 29% 为物联网 设备。如图 6.5 所示,主要设备类型是频监控设备和路由器
,分别占比 47% 和 42%。由此可见

频监控设备和路由器是最容易被攻击源入侵控制的物联网设备。
VoIP设备 路由器 5%
42%
打印机
5%其他 视频监控设备 1%
47%
图 6.5 Telnet 攻击源设备类型分布
弱口令爆破是攻击者攻击 Telnet 的主要方式,因此我们重点对弱口令的利用情况进行了分析,发现 很多物联网设备都是被爆破弱口令攻击后成为受控失陷主机的。爆破弱口令 Top10 如表 6.2 所示,其中, root-vizxv 曾被曝过可以直接登陆某安防监控设备后台,root-t0talc0ntr0l4! 是 Control4 智能家居
设备的 默认凭证,root-taZz@23495859 是 Mirai 变种“Asher”用来感染路由器最常用的弱口令之一。表 6.2 Telnet 爆破弱口令 Top 10

排名 弱口令 使用次数
1 root-admin 12,291,162
2 root- 7,838,125
3 root-default 2,096,372
4 root-vizxv 1,865,957
5 root-xc3551 1,749,530
6 root-t0talc0ntr0l4! 1,380,050
7 root-taZz@23495859 1,050,663
8 root-1001chin 775,692
9 root-ttnet 621,732
10 root-linuxshell 575,180

6.1.2.2 针对 WS-Discovery 协议的威胁观察
WS-Discovery(Web Services Dynamic Discovery)是一种局域网内的服务发现多播协议,但是因 为设备厂商的设计不当,当一个正常的 IP 地址发送服务发现报文时,设备也会对其进行回应,加之设 备暴露在互联网上,则可被攻击者用于 DDoS 反射攻击。今年 2 月,百度的安全研究人员 1 发布了一篇 关于 WS-Discovery 反射攻击 2 的文章。这是我们发现的关于 WS-Discovery 反射攻击的最早的新闻报道。 ZDNet 的文章 3 中提到,今年 5 月也出现过利用 WS-Discovery 的反射攻击,到今年 8 月的时候,有多 个组织开始采用这种攻击方式。Akamai 4 提到有游戏行业的客户受到峰值为 35 Gbps 的 WS-Discovery 反射攻击。
全球有约 91 万个 IP 开放了 WS-Discovery 服务,存在被利用进行 DDoS 攻击的风险,其中有约 73 万是视频监控设备,约占总量的 80%。
网络存储设备
10.8%
打印机 4.5%
视频监控设备
79.5%
不确定 5.2%
图 6.6 开放 WS-Discovery 服务的设备类型分布情况
图 6.7 是开放 WS-Discovery 服务的设备国家分布情况,从中可以看出,开放 WS-Discovery 服务的 设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。
1  基于 ONVIF协议的物联网设备参与 DDoS 反射攻击 , https://www.freebuf.com/articles/system/196186.html
2  原文中的表述是 ONVIF反射攻击,但我们经过分析后发现除 ONVIF设备外,打印机等也有可能参与其中。ONVIF在设备发现阶段
是基于 WS-Discovery 协议进行通信的。从反射攻击的角度来看,攻击者并非只针对 ONVIF设备。虽然百度并没有提 WS-Discovery 反射攻击,但我们认为这是对于 WS-Discovery 反射攻击的首次报道。
3 Protocol used by 630,000 devices can be abused for devastating DDoS attacks, https://www.zdnet.com/article/protocol-used-by-
630000-devices-can-be-abused-for-devastating-DDoS-attacks/
4 NEW DDOS VECTOR OBSERVED IN THE WILD: WSD ATTACKS HITTING 35/GBPS, https://blogs.akamai.com/sitr/2019/09/new-
DDoS-vector-observed-in-the-wild-wsd-attacks-hitting-35gbps.html

意大利 法国 波兰 墨西哥
1% 2% 2% 2% 阿根廷 土耳其 2% 1%
罗马尼亚
3%
俄罗斯 3%
其他 哥伦比亚 27% 3%
韩国
印度 8%
中国 5% 14% 美国
9%
越南 巴西
10% 9%
图 6.7 开放 WS-Discovery 服务的设备国家分布情况
我们对绿盟威胁捕获系统捕获的攻击事件进行了分析,如图 6.8 所示,这里我们将一天内一个独 立 IP 相关的事件看作一次攻击事件,攻击事件的数量我们将以天为单位进行呈现。直观来看,WS- Discovery 反射攻击事件从 8 月中旬开始呈现上升趋势,9 月份之后增长快速。这说明 WS-Discovery 反 射攻击已经逐渐开始被攻击作为一种用于 DDoS 攻击的常规武器,需要引起相关如安全厂商、服务提供 商、运营商等机构足够的重视。
35
30
25
20
15
10 事件数量(个)
5 0
8/2 8/4 8/6 8/8 9/1 9/3 9/5 9/7 9/9
7/257/277/297/31 8/108/128/148/168/188/208/228/248/268/288/30 9/129/149/169/189/20
日期 攻击事件
图 6.8 WS-Discovery 反射攻击事件变化情况

WS-Discovery 反射攻击的受害者国家分布情况如图 6.9 所示,我们观察到共有 24 个国家和地区受 到过攻击。从图中可以看出,中国是受害最严重的国家,其占全部受害者 IP的 33%;排在第二位的是美国, 占比为 21%。
加拿大
2%
巴西
2% 其它
印度 13%
3% 中国 法国 33%
5%
英国
6% 美国 德国 21%
8%
菲律宾
7%
图 6.9 WS-Discovery 反射攻击受害者的国家分布
6.1.2.3 针对 UPnP 协议的威胁分析
UPnP 是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,从而 使网络(尤其是家庭网络)对更多的人成为可能。因此,很多路由器都开放了 UPnP 服务。在 UPnP 协 议栈中,使用 SSDP 协议进行局域网内设备发现,使用 SOAP协议进行设备控制。更多关于 UPnP 基础 知识、脆弱性的介绍可以参看绿盟科技《2018 物联网安全年报》1 。
设备开放 UPnP SSDP 服务暴露数量最多的五个国家是中国、韩国、委内瑞拉、美国与日本,同时 我们发现俄罗斯的暴露数量相比去年下降了 84%,推测俄罗斯的相关部门推动了对于 UPnP 的治理行动。
1 2018 物联网安全年报,http://www.nsfocus.com.cn/content/details_62_2916.html

600000 500000 400000 300000 200000 100000
0
中国 其他 韩国 美国 日本 越南 巴西 希腊 印度 加拿大俄罗斯 乌克兰 阿根廷 意大利
委内瑞拉 哥伦比亚
阿尔及利亚
2018年12月 2019年10月
图 6.10 开放 SSDP 服务设备的国家分布情况
SOAP服务可访问的设备占 UPnP 设备总量的 46.9%,这些设备中,61% 的设备存在中危及以上的 漏洞,攻击者可以通过漏洞获取对这些设备的完全控制权,或利用漏洞发动攻击使设备崩溃。
100% 1400000
90%
1200000
80%
70% 1000000
60%
800000
50%
40% 600000 设备总数量 30% 400000
SOAP可访问设备占比
20%
200000
10%
0% 0
IGD
libupnpAltiDLNA Realtek Net OS SmartICTDLNADOC Synology
miniupnpdBroadcom Unspecified
UPnP devices
SOAP可访问 SOAP不可访问 设备数量
图 6.11 UPnP 设备各 SDK设备可访问性统计

在开放端口映射的约 39 万台设备中,总共有 6.3 万台设备中发现了一种以上的恶意行为,部分设 备受到多种恶意行为入侵,其中约 4.5 万台设备中发现了内网入侵行为,约 3 万台设备中发现了恶意代 理行为。图 6.12 列出了设备量最多的几个国家的设备数量对比与恶意行为的感染占比。中国的服务暴 露总量和受感染的设备数量均居首位。
30000 90000
80000
25000
70000
20000 60000
50000
15000
40000
10000 30000
IP数量(有映射) 20000 IP数量(无映射)
5000
10000
0 0
中国 韩国 美国 越南 巴西 日本 印度 阿根廷 意大利 俄罗斯
哥伦比亚
未感染 已感染 无映射
图 6.12 暴露端口映射设备恶意行为感染情况国家分布
我们共捕获到 4 种针对 UPnP 漏洞的利用行为 1 ,如表 6.3 所示。从中可以看出,这些漏洞均为远 程命令执行类漏洞。另外我们也发现,当漏洞出现在特定端口时,攻击者一般不会经过 UPnP 的发现阶 段,而是会选择直接对该特定端口进行攻击。
1 需要说明的是,由于 UPnP 的 SOAP服务端口众多,而 SSDP 服务中只能标识一个 SOAP端口,因此,我们主要是对 SOAP相关端
口进行了监听。如果攻击者首先进行 SSDP 服务发现,再根据服务发现内容决定下一步是否要进行攻击,我们则可能无法对其进行 捕获。

59

表 6.3 UPnP 漏洞利用情况(按源 IP 去重排序)

Exploit-DB 编号 漏洞公开年份 CVE编号 漏洞描述
43414 2017 CVE-2017-17215 Huawei Router HG532 - Arbitrary Command Execution
37169 2014 CVE-2014-8361 Realtek SDK - Miniigd UPnP SOAP Command Execution
37171 2015 CVE-2015-2051 D-Link Devices - HNAP SOAPAction-Header Command Execution
28333 2013 N/A D-Link Devices - UPnP SOAP TelnetD Command Execution
对 UPnP 日志中的源 IP 去重之后,我们发现对 UPnP 漏洞进行过利用的 IP 约占所有 IP 的 29.6%。 我们对去重之后的源 IP 的国家分布进行了分析,从图 6.13 中可以看出, 位于中国的攻击源最多。更进 一步我们发现,来自中国攻击行为的 90% 位于自台湾省,中国大陆地区的攻击源量级与俄罗斯、美国 等国家的量级相当。
英国 乌克兰 印度 巴西 土耳其 越南 阿根廷 美国 俄罗斯 中国
1 10 100 1000 10000 100000
图 6.13 UPnP 类日志攻击源 IP 的国家分布情况

参考资料

绿盟 2019年网络安全观察

友情链接

绿盟 2021网络空间测绘年报

针对 WS-Discovery 协议的威胁观察相关推荐

  1. 针对 Telnet 协议的威胁观察

    物联网 协议威胁观察本节我们选取了三个被攻击利用较多的协议进行分析. 6.1.2.1 针对 Telnet 协议的威胁观察 在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23)是被攻击者攻击最多 ...

  2. 网络安全观察物联网协议威胁观察

    物联网 协议威胁观察本节我们选取了三个被攻击利用较多的协议进行分析. 6.1.2.1 针对 Telnet 协议的威胁观察 在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23)是被攻击者攻击最多 ...

  3. IGRP中的RTP、Neighbor Discovery协议及Time总结

    EIGRP的运行所需要的四个组件包括: 1.Protocol-Dependent Modules(负责针对各种特定协议,如IP.IPX.APPLETALK) 2.RTP(Reliable Transp ...

  4. 【网络安全】针对 HTTP/2 协议的HTTP Desync攻击

    本文将介绍攻击者是利用漏洞发起HTTP Desync攻击的,目标都是一些知名网站,这些漏洞通过劫持客户端.木马化缓存.还有窃取凭据来发起攻击. 对Netflix的HTTP Desync攻击 由于HTT ...

  5. 解析针对 HTTP/2 协议的不同步攻击

    HTTP/2 很容易被误认为是一种传输层协议,HTTP/2 (原名HTTP/2.0)即超文本传输协议 2.0,是下一代HTTP协议.是由互联网工程任务组(IETF)的Hypertext Transfe ...

  6. [转]wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 实例介绍

    首先说几个最常用的关键字,"eq" 和 "=="等同,可以使用 "and" 表示并且,"or"表示或者."!& ...

  7. Nginx去配置socket的时候,发现nginx没有配置ws/wss协议,配置步骤如下

    配置之前需要知道ws协议和wss协议的区别 一.WS 和 WSS 的区别 WebSocket 协议是 html5 的一种通信协议,可以使客户端和服务端双向数据传输更加简单快捷,并且在 TCP 连接进行 ...

  8. 我的翻译--一个针对TP-Link调试协议(TDDP)漏洞挖掘的故事

    前言 我写这篇文章原本是为了简化WiFi渗透测试研究工作.我们想使用去年由Core Security发布的WIWO,它可以在计算机网络接口和WiFi路由器之间建立一个透明的通道. 研究的第一步,就是选 ...

  9. 针对Nginx SSL协议进行安全加固

    由于自建nginx服务在安全审查时需要进行SSL协议进行加固 nginxSSL协议加固建议如下 Nginx SSL协议采用TLSv1.2: 1.打开`conf/nginx.conf`配置文件(or i ...

最新文章

  1. 漫画算法:如何判断链表有环?
  2. cxf实现webservice
  3. 用C语言实现Ping程序功能
  4. 今週木曜日までの日程表
  5. TexBox.AutoCompleteSource
  6. Spring boot(七):Spring boot+ mybatis 多数据源最简解决方案
  7. php system 执行失败,php执行system()函数没有任何反应
  8. linux安装phpunit,linux下安装phpunit
  9. Matlab优化求解器中的Tolerances and Stopping Criteria
  10. iOS开发之通过代理逆向传值
  11. telnet发送socket报文_简单讲解一下Socket网络编程
  12. oracle 简版客户端instantclient使用 oledb ODAC组件使用
  13. 分享一张网上的测试工程师能力模型思维导图
  14. 华硕Armoury crate 奥创控制中心 卡在安装安装已连接设备中,安装失败,请重新启动,网络连接失败(-101)
  15. MDM数据分析设计方案
  16. windows server 2003忘记密码
  17. POCO C++库学习和分析 -- 序
  18. Photoshop 2023 Mac(PS 2023)v24.0.0中英文已发布,新功能详细介绍,支持M1/M2/intel
  19. 代码整洁之道 Clean Code 读书笔记
  20. 关于大一新生的一些话

热门文章

  1. PHP计算圆的面积和周长
  2. R语言学习笔记——高级篇:第十四章-主成分分析和因子分析
  3. 拥有良好的社交和友谊会使肠道微生物群更健康
  4. 接口对接文档规范2023年最新版(Restful API风格)
  5. 春季高考山东招生学校计算机,2017年山东春季高考信息技术专业本科招生院校...
  6. python 数据分类汇总_python对Excel分类汇总
  7. excel数据分类汇总怎么做
  8. 求经过两点的直线的表达式(Leetcode.149)
  9. 人工智能意念控制打字_智能打字稿批量属性分配
  10. Vite 源码解读系列(图文结合) —— 本地开发服务器篇