互聯(lián)網(wǎng)時(shí)代早期的重點(diǎn)是連接人,而今天的重點(diǎn)是連接“物”。從最廣泛的意義上講,物聯(lián)網(wǎng) (IoT) 是一個(gè)龐大的矩陣,由大量通過互聯(lián)網(wǎng)無(wú)線連接的非標(biāo)準(zhǔn)設(shè)備和端點(diǎn)組成。物聯(lián)網(wǎng)生成的數(shù)據(jù)具有獨(dú)特的潛力,可以為獨(dú)一無(wú)二的產(chǎn)品和服務(wù)開辟市場(chǎng)機(jī) 會(huì),在數(shù)字化飛速發(fā)展的今天,物聯(lián)網(wǎng)的應(yīng)用亦迅速增長(zhǎng)。微軟最近一份報(bào)告的主要調(diào)查結(jié)果表明,近 88% 的商業(yè)決策者認(rèn)為采用基于物聯(lián)網(wǎng)的技術(shù)對(duì)商業(yè)成功至關(guān)重 要。然而,盡管物聯(lián)網(wǎng)可以帶來業(yè)務(wù)轉(zhuǎn)型的好處,但企業(yè)在采用物聯(lián)網(wǎng)時(shí)仍面臨障礙 - Microsoft 的 IoT Signals 調(diào)查的 97% 受訪者 認(rèn)為,在實(shí)施物聯(lián)網(wǎng)時(shí),安全問題是一個(gè)主要挑戰(zhàn)。
現(xiàn)代物聯(lián)網(wǎng)攻擊
所有物聯(lián)網(wǎng)設(shè)備都容易被僵尸網(wǎng)絡(luò)當(dāng)作進(jìn)攻途徑,以實(shí)施分布式拒絕服務(wù) (DDoS) 攻擊。2016年,Mirai 僵尸網(wǎng)絡(luò)針對(duì)超過 600000 臺(tái) 物聯(lián)網(wǎng)設(shè)備,如路由器和攝像頭,發(fā)起了大規(guī)模 DDoS 攻擊,攻擊 峰值達(dá)到 620 Gbit。這起臭名昭著的事件發(fā)生后,新的惡意軟件家族開始出現(xiàn),紛紛發(fā)起其他類型的惡意軟件攻擊。
以 Xbash 為例, 它具有僵尸網(wǎng)絡(luò)、勒索軟件、加密挖礦和自傳播功能。Xbash 通過攻擊 Linux 和 Microsoft Windows® 服務(wù)器中的薄弱密碼和未修補(bǔ)的漏洞來擴(kuò)散,具有數(shù)據(jù)破壞性。另一個(gè)例子是 Muhstik 僵尸網(wǎng)絡(luò)的一個(gè)新變種,它自行安裝,并利用其蠕蟲般的自傳播能力通過加密挖礦和 DDoS 攻擊對(duì) Linux 服務(wù)器和物聯(lián)網(wǎng)設(shè)備造成嚴(yán)重破 壞。而當(dāng)前物聯(lián)網(wǎng)設(shè)備的攻擊面大致分為三大類:即設(shè)備的物理硬件接口、讓物聯(lián)網(wǎng)設(shè)備進(jìn)行連接和通信的通道以及針對(duì)物聯(lián)網(wǎng)設(shè)備的應(yīng)用及服務(wù)。
物聯(lián)網(wǎng)攻擊生命周期的階段
物聯(lián)網(wǎng)攻擊生命周期
我們已經(jīng)回顧了物聯(lián)網(wǎng)攻擊面的三種主要類型,現(xiàn)在,我們來討論物聯(lián)網(wǎng)攻擊生命周期的運(yùn)作方式。生命周期包括八個(gè)階段:
初始訪問
在此階段,攻擊利用網(wǎng)絡(luò)掃描方法,首先使用快速端口掃描工具(如 ZMap 或 Masscan) 掃描互聯(lián)網(wǎng),以定位易受攻擊設(shè)備的 IP 地址。
執(zhí)行
在此階段,攻擊會(huì)在易受攻擊的設(shè)備中執(zhí)行有效負(fù)載或命令。
持久性
在第三階段,執(zhí)行的惡意軟件有效負(fù)載在設(shè)備上展現(xiàn)持久性。
規(guī)避
使用規(guī)避技術(shù)可確保攻擊不會(huì)被發(fā)現(xiàn)或檢測(cè)到。
信息的收集
在此階段,將收集設(shè)備信息和敏感文件,如私鑰和加密貨幣錢包。
命令和控制
接下來,惡意負(fù)載還接收來自指揮和控制 (C2) 服務(wù)器的命令。
橫向擴(kuò)散
物聯(lián)網(wǎng)攻擊的橫向移動(dòng)主要是繼續(xù)感染本地網(wǎng)絡(luò)中的大量新設(shè)備。
影響
物聯(lián)網(wǎng)設(shè)備中發(fā)起的惡意活動(dòng)對(duì)設(shè)備有多方面的影響:加密數(shù)據(jù)以換取贖金、徹底清除磁盤和數(shù)據(jù),以及濫用以進(jìn)行加密挖礦...
在 Palo Alto Networks 的全球威脅情報(bào)團(tuán)隊(duì) Unit 42,我們仔細(xì)研究了網(wǎng)絡(luò)攻擊對(duì)物聯(lián)網(wǎng)設(shè)備的影響,包括設(shè)備的總體性能、設(shè)備可用性以及物聯(lián)網(wǎng)設(shè)備提供的服務(wù)。
物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊場(chǎng)景及影響
網(wǎng)絡(luò)掃描對(duì)網(wǎng)絡(luò)服務(wù)的影響
物聯(lián)網(wǎng)攻擊生命周期中最重要的攻擊階段之一是初始訪問“網(wǎng)絡(luò)掃描”階段,即攻擊者開始使用受危害物聯(lián)網(wǎng)設(shè)備中的掃描程序 IP 探測(cè)可用的開放端口。通過利用遠(yuǎn)程代碼執(zhí)行漏洞(通常位于面向互聯(lián)網(wǎng)的服務(wù)端口 37215 上),可以遠(yuǎn)程發(fā)起攻擊。
顯然,受危害物聯(lián)網(wǎng)設(shè)備中的網(wǎng)絡(luò)掃描會(huì)消耗網(wǎng)絡(luò)帶寬資源。因此,我們?cè)O(shè)計(jì)了一個(gè)實(shí)驗(yàn)來探索網(wǎng)絡(luò)掃描對(duì)受危害物聯(lián)網(wǎng)設(shè)備中的應(yīng)用或網(wǎng)絡(luò)服務(wù)的影響。
除了那些依賴網(wǎng)絡(luò)功能的服務(wù)外,網(wǎng)絡(luò)掃描對(duì)大多數(shù)服務(wù)都有微妙的影響。利用網(wǎng)絡(luò)掃描行為可能導(dǎo)致網(wǎng)絡(luò)擁塞,主要影響依賴網(wǎng)絡(luò)的服務(wù)。如果網(wǎng)絡(luò)延遲超過某個(gè)閾值,Ping等服務(wù)也可能會(huì)生不準(zhǔn)確的結(jié)果。其他值得注意的影響還包括對(duì)客戶登錄管理網(wǎng)頁(yè)的響應(yīng)緩慢,有時(shí)瀏覽器超時(shí)等。
具有 C-IoT 應(yīng)用的行業(yè)示例
C-IoT 設(shè)備電池?fù)p耗
蜂窩式物聯(lián)網(wǎng) (C-IoT) 設(shè)備通過利用現(xiàn)有蜂窩網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)來運(yùn)行。在網(wǎng)絡(luò)層,C-IoT 依賴于低功耗廣域網(wǎng) (LPWAN) 技術(shù),這是一種無(wú)線通信網(wǎng)絡(luò),能夠提供改進(jìn)的遠(yuǎn)程覆蓋,同時(shí)使用時(shí)的功 耗低。C-IoT 正在成為越來越占主導(dǎo)地位的 LPWAN 連接選項(xiàng),以支持低成本、低功耗傳感器和物聯(lián)網(wǎng)設(shè)備,實(shí)現(xiàn)大規(guī)模設(shè)備連接。蜂窩物聯(lián)網(wǎng)包括互補(bǔ)技術(shù)、LTE-M、NB-IoT 和 EC-GSM-IoT,這些技術(shù)經(jīng)過優(yōu)化,非常適合低成本和低功耗物聯(lián)網(wǎng)應(yīng)用的需要。
發(fā)掘 C-IoT 連接的潛力 C-IoT 在智能制造、農(nóng)業(yè)和智能城市等多個(gè)行業(yè)都有應(yīng)用,在行業(yè)數(shù)字化方面發(fā)揮著巨大作用。因此物聯(lián)網(wǎng)設(shè)備可能成為勒索軟件非常有吸引力的目標(biāo)。例如為智能農(nóng)業(yè)中的電網(wǎng)監(jiān)控、環(huán)境監(jiān)控設(shè)置中的煙霧檢測(cè)等應(yīng)用提供服務(wù)的 C-IoT 傳感器,甚至為公用事業(yè)部門提供服務(wù)的智能電表, 通常都受到電池的限制,并依賴電池作為電源??紤]到在地理位置分散的遠(yuǎn)程位置設(shè)置中更換所有電池的高成本,這一要求使得勒索軟件更加有機(jī)可乘。
而在攻擊中受危害的物聯(lián)網(wǎng)設(shè)備可能會(huì)導(dǎo)致電池耗盡,進(jìn)而致使 C-IoT 設(shè)備斷電并使物聯(lián)網(wǎng)服務(wù)離線。如果所有 C-IoT 設(shè)備的電池都很快耗盡,這幾乎會(huì)關(guān)閉 C-IoT 應(yīng)用,并可能導(dǎo)致事故。例如,農(nóng)場(chǎng)可能得不到保護(hù),煙霧探測(cè)系統(tǒng)可能無(wú)法運(yùn)行。此外,C-IoT 所有者需要花費(fèi)大量的時(shí)間和金錢來更換電池,甚至可能需要支付比這更多的贖金。
總結(jié)
現(xiàn)代物聯(lián)網(wǎng)惡意軟件和攻擊(如僵尸網(wǎng)絡(luò)掃描和傳播)的影響在于,它們可能耗盡 CPU 和內(nèi)存,導(dǎo)致性能降低 90% 以上,影響合法服務(wù)的可用性和設(shè)備的平均預(yù)期壽命。
某些新型攻擊可在數(shù)小時(shí)或數(shù)分鐘內(nèi)耗盡蜂窩物聯(lián)網(wǎng)中的設(shè)備電池,這些電池的壽命本可維持 10 年,在正常情況下支持高達(dá) 150 Mbps 的正常數(shù)據(jù)速率。這種性質(zhì)的攻擊可能會(huì)導(dǎo)致勒索軟件或 DoS 攻擊,這可能會(huì)造成重大經(jīng)濟(jì)損失。