綠盟科技：2018物聯網安全年報(121頁).pdf

《綠盟科技：2018物聯網安全年報(121頁).pdf》由會員分享，可在線閱讀，更多相關《綠盟科技：2018物聯網安全年報(121頁).pdf（121頁珍藏版）》請在三個皮匠報告上搜索。

1、 關于綠盟科技 北京神州綠盟信息安全科技股份有限公司（簡稱綠盟科技）成立于 2000 年 4 月，總部位于北京。在國內外設有 30 多個分支機構， 為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現業務的 安全順暢運行。 基于多年的安全攻防研究，綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域，為客戶提供入侵檢測 / 防護、 抗拒絕服務攻擊、遠程安全評估以及 Web 安全防護等產品以及專業安全服務。 北京神州綠盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳證券交易所創業板上市交易。 股票簡稱：綠盟

2、科技股票代碼：300369 關于上海交通大學信息內容分析技術國家工程實驗室 上海交通大學信息內容分析技術國家工程實驗室于 2009 年 3 月由國家發改委批準建設。實驗室主體建設于張江高科技園區，并于 2014 年 6 月通過國家驗收。實驗室主要圍繞國家信息化建設對網絡信息安全管理的需求，重點開展網絡發布內容智能獲取、多媒體內 容主題提取與分類、基于內容的網絡訪問控制等關鍵技術方面的研究。同時，實驗室積極開拓產業新增長點，加快技術成果轉化，支撐 國家有關職能部門和信息安全基礎設施建設。 近年來實驗室聚焦物聯網安全的密碼理論、密鑰管理、無線傳感器網絡安全、入侵檢測、安全數據融合、安全定位、射頻識

3、別的隱 私與安全、 物聯網嵌入式系統的安全設計， 取得了一系列成果。 相關成果已經在電信運營商、 公安、 網安、 文化宣傳等系統獲得成功應用。 關于廣州大學網絡空間先進技術研究院 為加快推進高水平大學建設步伐，布局新的學科與科研大平臺，學校圍繞“5+2”平臺引進并打造了一批高水平創新型科研團隊， 2017 年 7 月份，學校成功引進了方濱興院士，并以方院士團隊為主體，成立了網絡空間先進技術研究院。研究院下設 4 個研究所：網 絡安全研究所、物聯網及安全研究所、大數據及安全研究所、先進計算技術研究所。 物聯網及安全研究所協同網絡安全研究所、網絡空間安全大數據分研究所，以物聯網環境的個人用戶隱私保

4、護、平臺安全的局限性、 普遍存在的移動性使得追蹤和資產管理面臨挑戰、設備的數量巨大使得常規的更新和維護操作面臨挑戰、基于云的操作使得邊界安全不 太有效等核心科學問題。在物聯網中存在的隱私保護、認證、訪問控制管理、數據保護、物理安全、設備保護和資產管理等物聯網及安 全方向開展深入學術研究及技術應用。 特別聲明 為避免合作伙伴及客戶數據泄露，所有數據在進行分析前都已經過匿名化處理，不會在中間環節出現泄露，任何與客戶有關的具 體信息，均不會出現在本報告中。 2018 物聯網安全年報 A 目錄 執行摘要 2 1. 2018 年重大物聯網安全事件回顧 5 1.1 暗網出現利用物聯網設備的 DDoSaaS

5、 6 1.1.1 事件回顧 6 1.1.2 原理簡述 7 1.1.3 小結 8 1.2 Hiden Seek 僵尸網絡感染了 9 萬臺物聯網設備 9 1.2.1 事件回顧 9 1.2.2 原理簡述 9 1.2.3 小結 10 1.3 IoTroop 針對金融機構的多起 DDoS 攻擊活動 10 1.3.1 事件回顧 10 1.3.2 小結 10 1.4 VPNFilter 感染約 50 萬臺物聯網設備，或與國家行為有關 11 1.4.1 事件回顧 11 1.4.2 原理簡介 11 1.4.3 小結 12 1.5 臺積電生產線被勒索，停產損失超 10 億 12 1.5.1 事件回顧 12 1.5

6、.2 小結 13 1.6 UPnProxy 脆弱性使 4.5 萬個內網敞開，威脅眾多企業和家庭 13 1.6.1 事件回顧 13 1.6.2 原理簡介 13 1.6.3 小結 14 1.7 20 萬臺路由器被黑導致內網設備惡意挖礦 14 1.7.1 事件回顧 14 1.7.2 原理簡介 15 1.7.3 小結 15 1.8 總結 16 2018 物聯網安全年報 B 2. 物聯網資產暴露與變化情況分析 17 2.1 暴露物聯網資產概況 18 2.2 暴露物聯網資產的變化情況分析 20 2.2.1 攝像頭 21 2.2.2 路由器 23 2.2.3 VoIP 電話 23 2.3 物聯網資產地址變化

7、的原因分析 24 2.3.1 變化資產使用撥號方式入網 25 2.3.2 變化資產的 ASN 分布情況 32 2.4 國內物聯網資產真實暴露情況 34 2.5 小結 35 3. 物聯網資產風險和威脅統計 36 3.1 引言 37 3.2 異常物聯網設備分析 37 3.2.1 設備類型分析 38 3.2.2 攻擊類型分析 39 3.2.3 開放端口分析 42 3.2.4 惡意挖礦行為分析 44 3.3 異常物聯網設備的區域分布分析 46 3.3.1 全球物聯網設備的國家分布 46 3.3.2 全球異常物聯網設備國家分布 47 3.3.3 國內物聯網設備省份分布51 3.3.4 國內異常物聯網設備

8、省份分布 52 3.4 物聯網惡意家族分析 57 3.4.1 物聯網惡意家族的樣本維度分析 58 3.4.2 物聯網惡意家族的攻擊維度分析 60 3.4.3 典型惡意家族的詳細分析63 3.5 小結 67 2018 物聯網安全年報 C 4. 面向物聯網設備的 UPnP 協議棧威脅分析 68 4.1 引言 69 4.1.1 UPnP 技術簡介 69 4.1.2 UPnP 的工作流程 71 4.2 UPnP 協議棧的脆弱性與風險分析 73 4.2.1 UPnP 協議的脆弱性與風險分析 73 4.2.2 UPnP 實現中的常見脆弱性與風險統計 78 4.2.3 UPnP 服務的脆弱性與風險分析 80

9、 4.3 UPnP 暴露情況和風險統計 82 4.4 UPnP 協議棧的威脅分析 88 4.4.1 利用 UPnP 的反射攻擊分析 88 4.4.2 UPnP 端口映射服務威脅分析 90 4.4.3 其他針對 UPnP 服務的惡意行為分析 104 4.4.4 UPnP 服務掃描源分析 107 4.5 小結 109 附錄 1：文中部分名詞釋義 110 附錄 2：物聯網設備常用端口與協議對照表 112 附錄 3：常見 UPnP SDK 關聯漏洞 113 參考文獻 114 2018 物聯網安全年報 2 執行摘要 執行摘要 隨著物聯網的不斷發展，物聯網安全也被越來越多的人所關注。我們于 2016 年發

10、布物聯網安全 白皮書，進行物聯網安全的科普介紹；并于 2017 年發布2017 物聯網安全年報，關注物聯網資 產在互聯網上的暴露情況、設備脆弱性以及威脅風險分析。今年，我們持續深入研究物聯網資產和威脅： 在資產方面，我們關注如何更精準地刻畫暴露在互聯網上的物聯網資產分布情況；在威脅分析方面，我 們將重點類別的物聯網資產關聯從互聯網上發現的異常事件，跟蹤相關的物聯網威脅，包括各類惡意攻 擊和惡意家族。 首先，我們回顧了 2018 年 7 個影響較大的物聯網安全事件。在 2018 年，攻擊者利用漏洞編寫惡 意軟件感染大量物聯網設備、在暗網買賣攻擊服務、肆意發動破壞和勒索攻擊。這些行為顯然針對物聯

11、網設備或由物聯網設備發動的攻擊，對國家關鍵信息基礎設施、大型企業和個人的安全構成了嚴重的威 脅，物聯網總體安全形勢依然嚴峻，處置和緩解物聯網威脅任重道遠。 我們在去年的報告中提到，互聯網上暴露的各類物聯網設備累計高達 6000 萬臺，這是對端口進行 一年的掃描數據的統計結果。由于一年內多個掃描輪次中，物聯網設備的網絡地址可能會發生變化，通 過這種統計口徑得出的數據不能反映物聯網資產某段時間的真實暴露情況。為了解物聯網資產準確的變 化情況，我們對比了多個掃描輪次的數據，有如下發現： 通過對國內路由器、攝像頭和 VoIP 電話的資產變化數量對比分析，發現有至少 40% 的物聯網資產 的網絡地址處于

12、頻繁變化的狀態中，而同時資產的網絡地址所映射的網段只有 10% 發生變化。我們進 而對部分變化網段進行抽樣分析，發現超過 90% 的抽樣網段資產的網絡地址采用撥號方式入網。那么 無論是描繪暴露物聯網資產，還是追溯發動惡意攻擊的設備，都不能忽視考慮物聯網資產網絡地址的變 化因素。 除了對于物聯網資產暴露情況的深入研究外，我們對將近半年的全網掃描的物聯網資產數據和綠盟 威脅情報中心（NTI）的威脅情報數據、可管理服務的安全設備的日志告警信息，以及合作第三方的數 據進行關聯，以統計并分析暴露在互聯網上的物聯網資產的風險和遭受威脅趨勢。 分析近半年的物聯網資產的行為可知，在所有設備和出現過異常行為的設

13、備中，路由器和攝像頭比 例均為最高，異常設備的行為主要以 DDoS 攻擊、僵尸網絡通信和掃描探測為主，存在這些行為的異常 物聯網設備占所有異常物聯網設備的 79.36%；在所有異常物聯網設備中，開放 554 端口的攝像頭數量 2018 物聯網安全年報 3 執行摘要 最多，此類物聯網設備的安全檢查需要得到重點關注。物聯網攻擊體現出很強的家族屬性，從蜜罐捕獲 和僵尸網絡跟蹤的角度看，Mirai 和 Gafgyt 兩大家族的物聯網惡意樣本數量最多，而從檢測到的攻擊行 為角度看，物聯網僵尸主機家族的前兩名是 Gafgyt 和 XorDDos。從全球視角觀察，不同國家的惡意物 聯網設備發動的攻擊手法具有

14、差異性，以路由器為例，美國的異常路由器的主要以漏洞利用的手段被利 用，但巴西的主要以惡意挖礦為主等；聚焦國內，我們發現無論是物聯網設備的總數，還是異常物聯網 設備的數量，都與區域的經濟發展水平有較強的關聯，特別是第三產業。從廠商角度觀察，2018 年 4 月份，MikroTik 路由器的漏洞披露后被利用進行惡意挖礦，我們在 10 月發現仍有大量 MikroTik 路由器 在挖礦，導致 MikroTik 是我們在 2018 年觀察到設備被惡意利用最多的廠商。物聯網安全一從設計之初 要考慮安全問題，二在體系建設時要在端管云都要做好防護，三在安全治理時要考慮大量存量的弱安全 設備，足見其任重道遠，絕

15、非一朝一夕可成。 在研究物聯網暴露資產和跟蹤威脅時，我們發現大量 UPnP 服務暴露在互聯網上，淪為攻擊者的利 用對象，成為 DDoS 攻擊的重要來源。我們有如下發現： 全球有約 280 萬臺物聯網設備開放了 UPnP SSDP 服務（1900 端口），存在被利用進行 DDoS 攻 擊的風險，其中有 38.6% 的設備同時還開放了 UPnP SOAP 服務，在這些開放 SOAP 服務的設備中， 69.8% 的設備存在漏洞。由于 SOAP 服務缺乏鑒權機制，約 41 萬臺端口映射服務可訪問的物聯網設 備存在被入侵的可能。在這些設備中，有 8.9% 的設備被發現存在惡意的端口映射條目，例如會將內

16、網的 445 端口和 139 端口暴露在互聯網上，而開啟這兩個端口服務可能存在遭受永恒之藍、永恒之紅 的攻擊的風險，平均每個受感染的設備存在 282 條感染記錄。我們發現兩類添加惡意端口映射的家族 IntraScan 和 NodeDoS：IntraScan 試圖將所有的內網端口都暴露在互聯網上，全球有約 9 千臺設備受 到感染；NodeDoS 存在兩種惡意行為，一是映射到 8.8.8.8 的 53 端口，推測其將設備作為 DNS 反射攻 擊的肉雞集群，二是映射到某色情廣告平臺，進行分布式廣告點擊從中獲利，全球目前有約 600 臺設 備受到感染。 我們通過全球部署的蜜罐研究 UPnP 攻擊態勢，

17、通過對近兩個月的數據進行分析，我們觀察到 1056次SSDP反射攻擊事件， 此外還捕獲到如UPnP的探測掃描、 針對CVE的遠程代碼注入等惡意行為。 縱觀 2018 年，物聯網安全事件頻發，原因有三：第一，物聯網設備本身風險高、易被利用，同時 大量暴露在互聯網上；第二，DDoS 服務、勒索和惡意挖礦易變現且其低風險受到攻擊者親睞，攻擊者 可利用開源的武器庫快速組裝惡意軟件，進而掃描、滲透并控制物聯網設備；第三，物聯網的供應鏈長、 2018 物聯網安全年報 4 執行摘要 碎片化嚴重，物聯網廠商不具備所需的安全能力，安全廠商無法參與整個物聯網產品的設計、實現、生 產和升級環節。此外物聯網安全相關的

18、標準、法律法規尚未完善，監管機構缺乏有效的落地方針。因而， 我們建議安全廠商、物聯網廠商、物聯網服務商、網絡運營商及國家相關部門需要通力協作，從橫貫云 管端安全的頂層設計，到具體產品的安全設計實現測評，從威脅預警和安全治理結合的監管體系，到產 業合作創建多贏的商業模式，攜手共建物聯網安全生態環境。 最后，我們有如下預測： 在未來幾年中，隨著國家大力推動 IPv6 戰略，暴露在互聯上的物聯網資產數量可能會劇增，隨之 而來的安全問題也會增多。并且物聯網安全事件不會減少，甚至會因被黑產利用而增多。 由于互聯網上暴露的物聯網設備數量龐大，且相關漏洞層出不窮，物聯網惡意家族 1如 Gafgyt、 Mir

19、ai 和 XorDDoS 等較為活躍，且僵尸網絡呈現出服務化、集中化，基本形成托管服務（DDoSaaS、 Ransomware-aaS、Cryptojacking-aaS），攻擊者只需在暗網購買服務即可完成攻擊，無需花費構建的 時間等，致使威脅進一步增大。相信由此類服務發動的攻擊會頻繁見諸報端。 由于很多網關類設備都開啟了 UPnP 服務，而這些設備大多是遺留設備，短期內很難通過固件升級 或替換來解決相關安全問題，隨著攻擊者對于 UPnP 的認知逐漸加深，UPnP 帶來的威脅將更加嚴重， 特別是針對家庭和企業的內部網絡的攻擊。 1物聯網惡意家族是指以物聯網設備為肉雞目標的僵尸網絡家族。 201

20、8 物聯網安全年報 5 2018 年重大物聯網安全事件回顧 1. 2018 年重大物聯網安全事件回顧 1 2018年重大物聯網安全事件回顧 2018 物聯網安全年報 6 2018 年重大物聯網安全事件回顧 隨著物聯網設備數量的日趨增長，物聯網設備的漏洞也逐漸被暴露出來。一些活動在暗網中的不 法分子，會尋找、利用或控制存在這些漏洞的物聯網設備，進而發動惡意攻擊。比如烏克蘭電網中的 SCADA 系統被入侵后，攻擊者對烏克蘭電網發動了斷網攻擊，這種破壞行為無疑是影響人民生活、社 會穩定甚至是國家安全的不安定因素。目前我們監測到的掃描、控制、攻擊的行為，多為不法分子通過 利用設備漏洞，進而在設備上運行

21、惡意軟件實現的。一些惡意軟件，如 Mirai、BrickerBot 等，已被公 開報道，為世人所知。 本章列舉了 2018 年影響較大的物聯網安全事件。通過回顧相關的安全事件，讀者可了解到當前的 物聯網安全形勢 1。 觀點1： 回顧2018年的重大物聯網安全事件， 攻擊者惡意行為涉及感染物聯網設備、 買賣攻擊服務、 肆意發動破壞攻擊，這些行為表明針對物聯網或由物聯網發動的攻擊對各國的關鍵信息基礎設施安全構 成了嚴重的威脅，物聯網安全形勢依然嚴峻。 1.1 暗網出現利用物聯網設備的 DDoSaaS 1.1.1 事件回顧 2018 年 2 月，Radware 的信息安全專家 Pascal Geen

22、ens 分析了一個 DDoS 攻擊組織，該組織利 用一個名為 JenX 的惡意帶軟件感染的物聯網設備發動 DDoS 攻擊，目前他們已在暗網中出租 DDoS 服 務（DDoSaaS，DDoS as a Service）1 ，服務價格如圖 1.1 所示。盡管 JenX 感染的物聯網設備數量 未知，但是從這個組織可以發起 290-300Gbps 的 DDoS 攻擊來看，其控制的設備數量至少有 2.9 萬臺 （以每個設備對外最大上傳帶寬 10Mps 計算）。具體而言，JenX 可分別利用 CVE-201717215 和 CVE-2014-8361 感染華為 HG532 路由器和運行 Realtek S

23、DK 的設備，一般情況下，這類設備的帶寬 約 100Mbps，上傳帶寬約 10Mbps。和完全分布式僵尸網絡 Mirai 不同的是，該僵尸網絡由服務器完 成漏洞利用和僵尸主機管理的任務。在 7 月，黑客利用 CVE-201717215 僅僅在一天內就構建了一個 18000 臺僵尸網絡主機構成的僵尸網絡 2 ?？梢?JenX 的影響面之大。 1關于物聯網中的感染主機數量或者控制的主機數量，這個數字大多數是估計的。研究員主要是參考期活躍程度、分布程度、利用的 漏洞等不同角度信息，再結合各個安全廠商的蜜罐中捕獲的數據來計算的。該數量只能作為一個參考，并不能作為實際感染的主機 數量來認定。如果數字是確

24、定的，可能的情況是不法分子入侵了設備，并修改了設備指紋，在掃描的過程中可以將感染的設備標記 出來，使安全公司可以通過掃描的方式可以統計到設備數量。如果是后者，則數字是可信的。 2018 物聯網安全年報 7 2018 年重大物聯網安全事件回顧 圖 1.1 暗網買賣 DDoS 服務價格 1.1.2 原理簡述 圖 1.2 所示為 CVE-201717215 的利用思路 13，即攻擊者可以向目標主機的 37215 端口發送 HTTP POST 請求，并使用一系列不同的命令序列在目標主機中下載并運行惡意軟件。 圖 1.2 CVE-201717215 的命令注入點 CVE-2014-8361 漏洞的利用思

25、路相似，如圖 1.3 所示，攻擊者在“NewInternalClient”的 xml 標簽 中插入下載并運行惡意軟件的命令。惡意軟件運行之后，受感染的設備會接收來自 C /bin/busybox chmod 777 /tmp/carl; / tmp/carl huawei)$(echo HUAWEIUPNP) 另外，我們的 UPnP 蜜罐還觀察到一些與 UPnP 無關的常規惡意行為，包括對網頁，圖標等建站資 源的GET請求， 針對Apache Struts等web漏洞的惡意代碼注入和指向反動， 邪教等網站的http代理等。 2018 物聯網安全年報 107 面向物聯網設備的 UPnP 協議棧威

26、脅分析 4.4.4 UPnP 服務掃描源分析 攻擊者在做反射攻擊之前，會對反射源提前掃描并確認其可用。我們部署的蜜罐作為反射源，可觀 察到一些和掃描源相關的信息。從蜜罐日志數據中出發，我們發現了三種不同類型的掃描源： 1. 具有長期且規律性掃描行為的掃描源； 2. 與惡意行為相關的掃描源； 3. 同時對多種不同端口的服務進行掃描的掃描源。 通過分析蜜罐日志數據，我們發現了和這三種掃描源相關的 IP 地址或組織。 （1）蜜罐的角色是通過反射攻擊做 DDoS 的反射源，因此在所捕獲到的日志數據中，同一個受害 者相關的日志數量都特別大。除此之外，存在一些源 IP 對蜜罐的訪問次數很少，持續時間很長且

27、有一 定的規律性，這一類源 IP 極有可能是掃描源。經過分析，我們發現 210.76.218.* 這個網段中的 IP 極有 可能都是掃描源。 表 4.14 展示了 201.76.218.* 網段部分 IP 訪問不同蜜罐的次數和時間。經統計，這個網段中共有 203 個 IP 都有規律地訪問過蜜罐，而且次數都在 10 次以下，這些 IP 都有可能是掃描源。 通過分析這種掃描特征，我們還定位到了一個掃描源組織 Shadowserver，與其相關的 ip 共 17 個， 來自于 184.105.139.*，91.195.99.*，205.209.140.* 這三個網段，這些 IP 都存在有規律的掃描行

28、為。 該組織 31 官方介紹他們確實在進行大范圍的掃描， 用來搜索運行著不應該公開服務的公共可訪問設備， 因為它們很容易被利用。他們的目的是識別這些暴露主機并將它們報告給所有者進行修復。 表 4.14 210.76.218.* 網段的 IP 相關信息 IP訪問次數蜜罐位置日期IP訪問次數蜜罐位置日期 201.76.218.62中國2018/9/21201.76.218.97美國2018/10/19 201.76.218.62中國2018/9/22201.76.218.102印度2018/10/18 201.76.218.62中國2018/9/23201.76.218.107印度2018/10/

29、19 201.76.218.62中國2018/9/24201.76.218.107荷蘭2018/10/19 201.76.218.62中國2018/9/25201.76.218.112荷蘭2018/10/18 201.76.218.62中國2018/9/27201.76.218.117荷蘭2018/10/19 201.76.218.67英國2018/10/19201.76.218.117新加坡2018/10/19 201.76.218.97印度2018/10/19201.76.218.122新加坡2018/10/18 2018 物聯網安全年報 108 面向物聯網設備的 UPnP 協議棧威脅分析

30、 （2） UPnP 蜜罐能識別到的行為主要有 4 種，分別為：SSDP，以及 SOAP 的 HEAD、GET、POST 請求。SSDP 類型的請求一般與反射攻擊直接相關，而 HEAD，GET 和 POST 類型的請求一般與開放端 口映射的惡意行為有關系，也可能與其他漏洞利用有關系，因此與后三種行為相關的 IP 極有可能是掃 描源。通過對將近兩個月日志數據的過濾，與這三種類型行為相關的掃描源數量如圖 4.29 所示： 圖 4.29 不同類型行為相關的掃描源數量 10 85 54 0 10 20 30 40 50 60 70 80 90 HEADGETPOST 相關的IP數量 日志類型 （3）存在

31、一些掃描源會同時對不同端口的服務都進行掃描，所以它的掃描行為會被多個不同種類 的蜜罐捕獲到。除了 UPnP 蜜罐之外，我們還布置了很多其他可以記錄訪問者登陸過程或輸入命令行的 蜜罐，通過關聯蜜罐數據，分析相同 IP 在不同蜜罐中的日志記錄，可以很容易地判斷掃描源。比如 IP 地址為 185.*.*.147 的掃描源 , 它在 cowrie 蜜罐中多次使用常見賬號密碼嘗試暴力破解登陸，登陸成功 后只是簡單的輸入 “sh”，“busybox”，“help”等探測性的命令之后，沒有任何其他操作就退出， 這說明它很有可能僅僅是做了掃描。與此同時，該 IP 在連接 Redis 蜜罐后“client li

32、st”獲取所有連接 客戶端，然后立刻斷開連接的行為，以及在 Ommi 蜜罐中多次輸入“/”，“/login.html”的命令都可 以幫助我們進一步確認它就是掃描源。 2018 物聯網安全年報 109 面向物聯網設備的 UPnP 協議棧威脅分析 4.5 小結 本章首先對UPnP技術進行了介紹， 然后對其的脆弱性和風險進行了分析， 之后對其進行了威脅分析， 包括 UPnP 在互聯網上的暴露情況，蜜罐捕獲到的 SSDP 反射攻擊分析，蜜罐捕獲到的掃描源分析，端 口映射服務威脅分析，以及針對 UPnP 漏洞的惡意行為分析。 UPnP 問題嚴峻，需要多方參與才能改善現有的安全環境。 作為安全廠商： 1.

33、 可以在掃描類產品中加入 UPnP 掃描能力，及時發現客戶網絡中存在的安全隱患。 2. 可以在防護類產品中加入對于 SSDP 和 SOAP 的流量檢測能力，及時發現客戶網絡中存在的安 全威脅。 作為設備開發商： 1. 遵循 OCF 的建議，產品在實現的時候加入對各類操作權限進行限制、對端口轉發租用時間進行 限制等安全機制。 2. 在產品中采用較為安全的 UPnP SDK。 3. 提供設備的自動升級服務。 4. 嚴格按照 UPnP 規范，如果沒有需要，不將 UPnP 相關端口暴露在互聯網上。 作為監管部門： 1. 對于網絡中的 UPnP 威脅進行監控，發現問題進行通報。 2. 提高人們的 UPn

34、P 安全意識。 3. 推動設備中 UPnP 功能的安全評估，如設備不滿足相關要求，禁止設備上市等。 作為用戶： 1. 如無需要，關閉路由器的 UPnP 功能。 2. 借助工具，自查端口映射表，發現異常條目，及時清除。 3. 及時升級路由器等包含 UPnP 功能的設備的固件。 2018 物聯網安全年報 110 附錄 1 ： 文中部分名詞釋義 1 SIP（Session Initiation Protocol）：由 IETF（Internet Engineering Task Force，因特網工程任務組）制定的多媒體通信協議。 它是一個基于文本的應用層控制協議，用于創建、修改和釋放一個或多個參與

35、者的會話。 2 ASN（Autonomous system number）：ASN 為自治系統號碼，是全球分配的大型網絡系統編號，通過查詢 IP 所屬的 ASN， 可以準確的確定其所屬的運營商。 3 ADSL（Asymmetric Digital Subscriber Line）：ADSL 屬于 DSL 技術的一種，也可以稱作非對稱數字用戶環路，是一種數據 傳輸方式。 4 UPnP（Universal Plug and Play）：通用即插即用技術。由微軟等企業發起，基于一系列互聯網協議和自行制定協議構成的 設備架構，為廣泛存在的點對點網絡互聯定義了一個分布式、開放的網絡體系結構。 5 OCF

36、（Open Connectivity Foundation）：開放連接基金會，UPnP 技術原本由 UPnP 論壇制定，自 2016 年 1 月 1 日起， UPnP 論壇將其資產分配給開放連接基金會，繼續對 UPnP 技術的改進和推動。 6 SSDP（Simple Service Discovery Protocol)：簡單服務發現協議，是一種多播發現和搜索機制， 基于 UDP 設計，適用于 UPnP 工作流程的發現階段。 7 SOAP（Simple Object Access Protocol）：SOAP 為簡單對象訪問協議，是一種基于 XML 的遠程程序調用機制，通過 HTTP 發送命令

37、、接收數據，適用于 UPnP 工作流程的控制階段。 8 GENA（General Event Notification Architecture）：GENA 為通用事件通知架構，工作于 UPnP 的事件階段，用于事件的訂 閱和通知。 9 SCADA（Supervisory Control And Data Acquisition)：數據采集與監視控制系統。SCADA 系統是以計算機為基礎的 DCS 與 電力自動化監控系統；它應用領域很廣，可以應用于電力、冶金、石油、化工、燃氣、鐵路等領域的數據采集與監視控制以 及過程控制等諸多領域。 10 Mirai：一款惡意軟件， 可使運行Linux的計算系

38、統成為被遠程操控的 “僵尸” ， 以達到通過僵尸網絡進行大規模網絡攻擊的目的， 文中也指其相關變種。 11 BrickerBot：和 Miral 類似，一款感染后會組建僵尸網絡的惡意軟件。 12 DDoSaaS（DDoS as a Service）：泛指網絡上買賣的 DDoS 服務。 13 SDK（Software Development Kit, SDK）：一般是一些被軟件工程師用于為特定的軟件包、軟件框架、硬件平臺、操作系統 等創建應用軟件的開發工具的集合。 14 Hiden Seek：和 Miral 類似，一款感染后會組建僵尸網絡的惡意軟件。 15 ADB（Android Debug B

39、ridge）：一個通用的 Android 命令行工具，其允許通過客戶端與模擬器實例或連接的 Android 設備進 行通信。 16 IoTroop：和 Miral 類似，一款感染后會組建僵尸網絡的惡意軟件。 2018 物聯網安全年報 111 17 Gafgyt：也稱為 BASHLITE，Lizkebab，Qbot，Torlus 和 LizardStresser。是一個惡意軟件，它感染 Linux 系統以啟動分布式 拒絕服務攻擊（DDoS）。 18 VPNFilter：是一種惡意軟件，感染路由器和網絡存儲設備 19 UPnProxy：一種利用 UPnP 漏洞設置路由器的 NAT 轉發行為。由于表

40、面上看像是對內網設備設置了代理，又與 UPnP 相關， 所以被 Akamai 稱為 UPnProxy。 20 NAT（Network Address Translation）：網絡地址轉換，也叫做網絡掩蔽或者 IP 掩蔽（IP masquerading），是一種在 IP 數 據包通過路由器或防火墻時重寫來源 IP 地址或目的 IP 地址的技術。 21 BYOD（Bring Your Own Device）：自攜電子設備，亦稱自攜技術（BYOT, Bring Your Own Technology）、自攜電話（BYOP, Bring Your Own Phone）或自攜電腦（BYOPC, Bri

41、ng Your Own PC）是一種允許員工使用個人移動設備進入他們工作區域并用 以處理公司資訊與應用程序的作業方。 22 SSH（Secure Shell）：是一種加密的網絡傳輸協議，可在不安全的網絡中為網絡服務提供安全的傳輸環境。一般用來認證和 加密操作系統的遠程命令。 23 XML（Extensible Markup Languag）：可擴展標記語言，是一種標記語言，也可以認為是一種約定好的格式。 24 Winbox：用于遠程管理 MikroTik 路由器的客戶端軟件。 25 Coinhive：一種挖礦軟件，提供了 API。 26 Monero：門羅幣（縮寫：XMR）是一個創建于 201

42、4 年 4 月開源加密貨幣，它著重于隱私、分權和可擴展性。與自比特幣衍 生的許多加密貨幣不同，Monero 基于 CryptoNote 協議，并在區塊鏈模糊化方面有顯著的算法差異。 27 Telnet：Telnet 協議是一種應用層協議，使用于互聯網及局域網中，使用虛擬終端機的形式，提供雙向、以文字字符串為主的 命令行接口交互功能。 28 SQL 注入：通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的 SQL 命令。 29 RTSP （Real Time Streaming Protocol）：實時串流協議是一種網絡應用協議，專為娛樂和

43、通信系統的使用，以控制流媒體 服務器。 該協議用于建立和控制終端之間的媒體會話。 30 GDP（Gross Domestic Product）：國內生產總值亦稱國內生產毛額或本地生產總值，是一定時期內（一個季度或一年），一 個區域內的經濟活動中所生產出之全部最終成果（產品和勞務）的市場價值。 31 SMB（Server Message Block）：網絡文件共享系統，一種應用層網絡傳輸協議，由微軟開發，主要功能是使網絡上的機器 能夠共享計算機文件、打印機、串行端口和通訊等資源。它也提供經認證的進程間通信機能。32 物聯網白皮書 32 C&C （Command and Control） ：C&C

44、是僵尸網絡的控制端， 僵尸網絡是攻擊者出于惡意目的， 傳播僵尸程序以控制大量計算機， 并通過一對多的命令與控制信道所組成的網絡。 33 CNCERT：國家互聯網應急中心 2018 物聯網安全年報 112 附錄 2 ： 物聯網設備常用端口與協議對照表 端口號協議 21FTP 22SSH 23Telnet 80HTTP 81HTTP 443HTTPS 554RTSP 1900SSDP 4567CWMP 5060SIP 7547CWMP 8080HTTP 8081HTTP 2018 物聯網安全年報 113 附錄 3 ： 常見 UPnP SDK 關聯漏洞 Portable SDK for UPnP d

45、evices 遠 程 代 碼 執 行：CVE-2012-5958，CVE-2012-5959，CVE-2012-5960，CVE-2012-5961，CVE- 2012-5962，CVE-2012-5963，CVE-2012-5964，and CVE-2012-5965，影響版本：=1.6.18 Miniupnpd 遠程代碼執行：CVE-2013-0230，影響版本： =1.0 拒絕服務：CVE-2013-0229， CVE-2013-1461， CVE-2013-1462， CVE-2017-1000494， 影響版本： 2.0 Realtek SDK 遠程代碼執行：CVE-2014-836

46、1，影響版本：=1.3 Broadcom UPnP Stack：SDK 版本未公開，依廠商固件的修復情況而定 遠 程 代 碼 執 行：CVE-2011-4499，CVE-2011-4500，CVE-2011-4501，CVE-2011-4502，CVE- 2011-4503，CVE-2011-4504，CVE-2011-4505，CVE-2011-4506，CVE-2011-4507，影響版本： 根據廠商版本 注：此 SDK 在掃描中報告的應用類型為 Proc，應用版本為 Ver。 HikVision 5.4.5 注：此設備在掃描中體現應用類型為 IPC_CIVIL_CMD 2018 物聯網安

47、全年報 114 參考文獻 1 JenX Botnet: A New IoT Botnet Threatening All， reports/jenx 2 黑客在一天內擁有了 18,000 臺設備的僵尸網絡， 18000-devices-in-one-day/ 3 HideN Seek 僵尸網絡：在更多平臺和設備上不斷的添加漏洞利用， 4 HNS 僵尸網絡新動態：已增加通過 Wi-Fi 感染 Android 設備的能力， 5 Playing HideN Seek: Worlds first IoT Botnet with custom-built p2p communication， resou

48、rces/files/News/CaseStudies/study/186/Bitdefender-Business-2017-WhitePaper-hidenseek-crea2444-en-EN- GenericUse.pdf 6 Mirai 變種僵尸網絡預警：針對金融行業發起大規模 DDoS 攻擊， 7 UPnProxy: Blackhat Proxies via NAT Injections， upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf 8 Akamai 官網， 9 UPNPROXY: ETERNALSILE

49、NCE, 10 黑掉 5 萬多臺打印機，只為推廣他的 YouTube 頻道？ 11 Priter Exploitation Toolkit（PERT）源碼，https:/GitH 12 2018 DDoS 攻擊，IP 團伙行為分析報告， 13 CVE-2017-17215 - 華為 HG532 命令注入漏洞分析，http:/blog.hac425.top/2017/12/28/cve_2017_17215_hg532.html 14 Realtek SDK Miniigd UPnP SOAP Command Execution， UPnP-SOAP-Command-Execution.html 15 WINBOX VULNERABILITY，https:/blog.MikroT 16 深入分析 MikroTik RouterOS CVE-2018-14847 & Get bash shell， 17 20 多萬臺 MikroTik 路由器被黑，用戶被迫扛起鋤頭挖礦， 18 Ukraine claims it blocked VPNFilter attack at chemical plant ，https:/www.theregister.co.uk/2018/07/13/ukraine_vp