物联网资产实际暴露情况研究

小结

不仅仅是 LockerGoga，其他勒索软件也对工业系统造成了重大损失，如全球第二大听力集团 Demant 被勒索造成损失达 9500 万美元 [21]；世界上最大的飞机零部件供给商之一 ASCO，因其位于比利时扎芬特姆的工厂系统遭勒索病毒传染，导致该公司在德国、加拿大
和美国的工场被迫停产 [22]， 2018 年台积电遭遇勒索软件袭击，导致损失超 17 亿元人民币 [23]。勒索软件攻击计算机
系统后，一般会加密重要用户文件，系统功能不受影响，以方便获利，但是 LockerGoga 会导致系统也无法启动，即便是支付了赎金，恢复成本也将变大。在 2018 年的物联网安全年报中，我们也将台湾省台积电工厂被勒索列入了年度安全事件
，可见勒索软件攻击工厂层出不穷，破坏巨大。这从一个侧面反映出传统的工控系统已经越来越多地接入互联网， OT系统与 IT系统的融合使得工业控制系统不再是物理隔离的；此外，随着工业互联网的兴起，工业设备与互联网业务打通已是必然趋势。无论是前述国家对抗，还是本事件显示的无差异广谱攻击，IT系统的安全事件已经严重影响了工业系统的控制安全，很有可能造成生产安全事故。面对勒索软件的威胁，工业厂商一定要做好关键文件的备份，关键计算机系统要做好每日更新的离线备份，以确保勒索软件攻击后，能很快恢复生产运营。工程师站等终端应部署杀毒软件，并及时更新病毒库。除此之外，对员工的安全培训也必不可缺，员工应有不从不可信的网站下载应用程序等不明资源的意识。

服务首次被发现用于反射攻击

事件回顾

2019 年 2 月，百度的安全研究人员 [24] 发布了一篇关于 WS-Discovery 反射攻击 1 的文章，在该次攻击事件中，涉及反射源 1665 个。这是我们发现的关于 WS-Discovery 反射攻击的最早的新闻报道。 ZDNet[25] 提到，今年 5 月也出现过利用 WS-Discovery 的反射攻击，到今年 8 月的时候，有多个组织开始采用这种攻击方式。Akamai[26]提到有游戏行业的客户受到峰值为 35 Gbps 的 WS-Discovery 反射攻击。
1　原文中的表述是 ONVIF反射攻击，但我们经过分析后发现除 ONVIF设备外，打印机等也有可能参与其中。ONVIF在设备发现阶段
是基于 WS-Discovery 协议进行通信的。从反射攻击的角度来看，攻击者并非只针对 ONVIF设备。虽然百度并没有明确提出 WS- Discovery 反射攻击，但我们认为这是对于 WS-Discovery 反射攻击的首次报道。

原理简述

WS-Discovery（Web Services Dynamic Discovery）是一种局域网内的服务发现多播协议，但是因为设备厂商的设计不当，当一个正常的 IP 地址发送服务发现报文时，设备也会对其进行回应，加之设备暴露在互联网上，则可被攻击者用于 DDoS 反射攻击。
WS-Discovery 协议所对应的端口号是 3702。当前，频监控设备的 ONVIF规范 [27] 里面提到使用 WS-Discovery 作为服务发现协议，一些打印机 [28] 也开放了 WS-Discovery 服务。

小结

反射攻击存在已久，随着防护能力的增强，攻击者的攻击手段也在发生变化，并将注意力放在了一些新的协议上。WS-Discovery 反射攻击作为一种新的反射攻击类型，面向物联网设备，在今年之前的反射攻击介绍类文章中并未有对其的任何介绍，潜力巨大，需要引起人们的关注。在第四章，我们将会对其进行更进一步的分析。

黑客使用弱口令接管了个僵尸网络

事件回顾

根据 ZDNet 报道 [29]，一位名为 Subby 的黑客通过暴力攻击接管了 29 个用于 DDoS 攻击的 IoT 僵尸网络。Subby 使用了用户名字典和常用密码列表来对这 29 个僵尸网络的主控服务器（C&C，Command and Control）进行暴力攻击，其中一些设施使用了强度较弱的凭据，例如 root:root、admin:admin、 oof:oof 等。根据 Subby 的说法，这些僵尸网络都比较小，实际的僵尸主机（Bot）总数仅为 2.5 万，破解的僵尸网络相关信息如表 1.1 。
表 1.1 被暴力破解的 C&C的相关信息

原理简述

之所以那么多恶意 C&C主机使用默认口令，因为大部分僵尸网络的制作者很多是参考某些社区的制作教程，几乎都不更改教程中的登录凭证，就算更改了，也是安全等级较弱的口令组合，因此很容易受到暴力破解。开普勒物联网僵尸网络的作者也承认自己是按照教程制作、部署僵尸网络，而且只是使用 Exploit-DB中的一些漏洞利用。可见，参考现有教程来制作僵尸网络，目前还是很普遍的现象 [30]。

小结

如今，制作一个物联网僵尸网络程序门槛很低，一个“脚本小子”只需要在相关的技术网站上找到一些程序或者代码，做一些简单的修改配置就可以完成，本事件中的攻击者轻易控制这么多物联网僵尸主机。很多物联网僵尸网络都以类似的方式构建，所以物联网安全形势还是十分严峻的。
此外，也正因为许多攻击者也不是专业的技术人员，所以经常使用默认口令，甚至直接使用示例中 C&C服务器的地址，本事件提供了一种以毒攻毒的治理思路，可以找到攻击者的弱点加以利用，进而达到对恶意僵尸网络治理的目的。

日本通过法律修正案允许政府入侵物联网设备

事件回顾

2019 年 1 月 25 日，日本通过了一项法律修正案 [31]，允许政府工作人员入侵物联网设备。修正案的内容包括两点，一是允许日本国家信息和通信技术研究所（NICT）通过弱口令对物联网设备进行扫描从而发现脆弱的设备，二是 NICT可以将这些信息作为威胁情报共享给电信运营商。与之相对应，日本从 2019 年 2 月 20 日起启动 NOTICE项目 [32]，开始对互联网上的物联网设备进行调查，识别易受攻击的设备，并将这些设备的信息提供给电信运营商。然后，电信运营商定位设备对应的用户，并警告用户该问题。日本所采取的这些行为也是在为 2020 年即将在日本举办的夏季奥运会和残奥会的安保工作做准备，尽量避免发生类似 2018 年平昌冬奥会期间的 Olympic Destroyer 事件 [33]。

小结

虽然日本的这项做法可能会破坏设备完整性，或会引起部分民众的不满，但是从根本上解决物联网安全问题就必须要减少甚至消除暴露在互联网上的脆弱物联网设备。
从前面的物联网僵尸网络和攻击事件可见，物联网上暴露了大量脆弱的物联网设备，这些设备在较长时间内不会消失，从而成为攻击者喜欢利用的僵尸主机。虽然 1.7 中黑客可以“以毒攻毒”，但毕竟是不合法合规的做法。物联网安全治理的根本做法是找到暴露在互联网上脆弱的设备和用户，安全升级或更换设备。当然这种做法的前提是评估该设备是脆弱的，但技术上很可能用一些侵入式的手段，对设备完整性有所破坏，通常也是不合法的。所以此次日本从法律上保障政府工作人员（安全研究人员）对
本国物联网设备进行脆弱性评估，无疑扫清了安全治理过程中的法律风险。而且日本政府也在其网站 [32] 上明确说明，调查旨在检查是否容易猜出每个物联网设备中的密码设置，不会侵入设备或获取调查所需的信息外的信息。对于调查获得的信息，将根据内政和通信部长批准的 NICT实施计划采取严格的安全控制措施。另外，日本政府部门、电信运营商和用户的联动也同样值得借鉴，这提供了一种很好的对于存在风险的暴露在互联网上的物联网设备的治理思路。

总结

本章回顾了 2019 年的 8 个物联网安全事件。其中，委内瑞拉的停电事件、物联网僵尸网络和勒索软件大规模攻击事件、波音客机系统被挖掘出严重漏洞，这几个事件均表明当前物联网安全形势依然严峻，和 2018 年的结论相似。其他事件，如 D-Link终端更新问题说明大量物联网终端已经得不到官方的安全更新，如果不经过有效治理，安全风险将长期存在；黑客能接管数十个僵尸网络也说明可以以攻代守，通过攻击僵尸网络的方式，进而治理僵尸网络；众多的安全事件的源头和目标均指向了脆弱的物联网终端，出于安全治理的目的，美国和日本在 2019 年颁布了法令和政策以治理物联网终端。
总之，物联网终端安全形势依旧严峻，物联网安全防护任重道远，国家、企业、公民均需要不断努力，以改善物联网安全形势。国家层面，政府、立法机构等相关部门需要逐步完善物联网安全方面的法规、政策，以推动物联网生态的安全建设；企业应不断加强人员安全培训，规范设备的安全管理，增加必要的安全投入以降低 DDoS、勒索软件带来的损失；公民需要加强安全意识，购买物联网产品时需要考虑设备的安全性可能给自己带来的损失，及时更换登录凭证，定期更新软件和系统。

物联网资产暴露情况分析

引言

如我们 2018 年《物联网安全年报》中所述，互联网上暴露的资产网络地址是不断变化的，使用历史数据来描绘暴露资产情况，会导致统计结果要高于实际暴露数量，所以某个地区实际的暴露数量，应在较短的时间测绘一个周期后，统计物联网资产数量更为准确。本章节首先将描述 2019 年物联网资产实际暴露情况。
随着物联网应用的蓬勃发展、IPv4 地址的耗尽，IPv6 普及已成必然趋势，IPv6 网络上暴露的物联网资产将成为攻击者的重点目标，能够对 IPv6资产和服务准确的测绘，对于网络安全具有着重要的意义。所以本章节还会介绍 IPv6 的物联网资产发现方法以及暴露情况。

国内物联网资产实际暴露情况

观察 1： 2019 年国内物联网资产实际的暴露数量共有 116 万，其中暴露设备类型最多的是摄像头，暴露数量最多的地区是台湾省。
在 2019 年 11 月，我们对国内物联网资产常用端口：554（RTSP），5060（SIP），80（HTTP），81（HTTP）， 443（HTTPS），21（FTP），22（SSH），23（Telnet）等进行测绘，共发现 116 万暴露的物联网资产，其中最多的是摄像头，暴露数量约 56 万，此外，国内路由器的暴露数量约为 28 万，VoIP电话约为 26 万，打印机约为 2 万，如图 2.1 所示。
暴露数量（个）
摄像头路由器 VoIP电话打印机
设备类型
图 2.1 2019 年国内 IPv4 物联网资产实际暴露情况
暴露的物联网资产所在地区情况如图 2.2 所示，其中，台湾省暴露的资产最多，共有约 34 万，占国内总量的 30% 左右，大约是第 2 名河南省暴露数量的 4 倍。产生这个现象的主要原因是台湾省分配到的 IPv4 地址数量较为充足，所以大量资产不需要做地址翻译连接互联网，故而暴露出来；而中国大陆地区的 IPv4 地址数量是不够的，所以暴露的地址数量相对较少。我们猜想等 IPv6 广泛使用后，国内会有更多的物联网资产暴露出来，面临风险也会随之而来，所以关注 IPv6 的物联网资产暴露情况是十分有必要的。在 2.3 节中，我们介绍 IPv6 的物联网资产的暴露初步情况以及 IPv6 资产测绘发现的思路。
暴露数量（台）
台湾河南山东江苏江西香港上海安徽北京广东福建浙江地区分布
图 2.2 2019 年国内 IPv4 资产地区分布情况

亚太部分地区物联网资产实际暴露情况

观察 2：日本物联网资产暴露情况相较于去年总量变化不大，新加坡的物联网资产暴露数量相比于去年增加了约 40%，这个增长可能与近些年新加坡大力发展物联网应用有关。
在 2019 年 11 月，我们使用与 2.2 节中同样的测绘方法对新加坡和日本的物联网资产实际暴露情况进行统计，具体的数据如图 2.3 图 2.4 所示。日本暴露物联网资产总量约 47 万，最多物联网资产是路由器（333,573 个），其次是打印机（70,785 个），最后是摄像头（64,794 个）和 VoIP电话（105 个）。新加坡暴露物联网资产总量约 28 万，最多物联网资产也是路由器（232,506 个），其次是摄像头（46,575 个），最后是摄像头（2,139 个）和 VoIP电话（47 个）。
暴露数量（个）150,000
路由器打印机摄像头 VoIP电话
设备类型
图 2.3 2019 年日本物联网资产实际暴露情况
暴露数量（个）
路由器摄像头打印机 VoIP电话
设备类型
图 2.4 2019 年新加坡物联网资产暴露情况