现代物联网生态系统覆盖面极其广泛,几乎所有行业中的机器和对象都可以连接和配置,通过蜂窝网络将数据发送到云应用程序和后端。
物联网历程的每个步骤都存在数字安全风险,并且有大量黑客会利用系统的漏洞。最近的研究表明,有90%的消费者对IoT设备安全性缺乏信心。
保护物联网,建立对物联网设备的信任是首要问题。而在这之前,我们首先需要了解物联网威胁发展趋势,警惕物联网安全漏洞带来的后果。那么在这些物联网威胁事件中,后门扮演着怎样的角色?
01
卡巴斯基针对物联网威胁趋势做出详细调查报告
在报告中,卡巴斯基指出物联网设备受攻击的数量逐年成数倍增长,这个趋势发展下,未来的物联网安全形势将更加的严峻。
物联网的脆弱性因Mirai恶意软件的肆用而不断凸显,特别是弱口令的泛滥、致使了大批物联网设备沦陷。报告显示,在将恶意软件下载到物联网设备上时,网络犯罪分子的首选是Mirai后门(总占比20.9%)。
成功破解Telnet密码后下载到受感染的IoT设备的十大恶意软件
为了查看恶意软件针对的漏洞,卡巴斯基分析了尝试连接到陷阱上各个端口的数据。在2018年第二季度,绝大多数攻击仍然来自Telnet和SSH密码暴力破解。
不仅如此,终端用户还面临其他恶意软件威胁,其中一种有效荷载与加密货币有关。
例如, IoT 恶意软件可以在受感染设备上安装恶意矿工。Satori木马的创建者发明了一种狡猾且可行的获取加密货币的方法。他将受感染的IoT设备作为访问高性能计算机的一种钥匙:
第一步,攻击者首先试图利用已知漏洞感染尽可能多的路由器,这些漏洞包括:
CVE-2014-8361–Realtek SDK 的 miniigd SOAP 服务中的远程代码执行漏洞
CVE 2017-17215– 华为 HG532 系列路由器固件中的远程代码执行漏洞
CVE-2018-10561, CVE-2018-10562–Dasan GPON 路由器中的身份认证绕过漏洞和任意代码执行漏洞
CVE-2018-10088–XiongMai uc-httpd 1.0.0 中的缓冲区溢出漏洞,该产品被用于部分中国制造的路由器和智能设备的固件中
第二步,利用受感染的路由器和以太坊挖矿软件 Claymore 的远程管理工具中的漏洞CVE-2018-1000049,将钱包地址替换成自己的。
智能设备的崛起,使得物联网设备成为网络犯罪分子的主要攻击目标,甚至比个人计算机更容易受到感染。物联网设备通常在家庭基础设施中扮演了一个重要的角色,其中的代表设备是家庭路由器。
据悉,多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全“地雷”。
针对智能设备的恶意软件在数量上的增长和质量上的加强,越来越多的漏洞利用程序被网络犯罪分子开发出来。下面是一些可以帮助减少智能设备感染风险的小技巧:
除非绝对必要,否则禁止从外部网络访问设备;
定期重启有助于清除已感染的恶意软件;
定期检查是否存在新版本的固件并进行更新;
使用复杂密码(长度至少为 8 位,包含大小写字母、数字和特殊字符);
在初始设置时更改出厂密码。
02
后门在许多物联网设备中频繁活跃
数据表明,后门在许多物联网设备中频繁活跃。例如,雄迈固件被全球数以百万计的智能设备使用,其中包含安全摄像头、dvr、NVRs等。研究人员表示,运行雄迈固件设备的后门机制在被发现多年后仍然活跃。
俄罗斯安全研究人员Vladislav Yarmak曾公布他在雄迈固件中发现的后门机制的细节。通过TCP端口9530向使用HiSilicon芯片和雄迈固件的设备发送一系列命令,可以利用这个后门。这些命令将在易受攻击的设备上启用Telnet服务。
一旦Telnet服务启动并运行,攻击者就可以使用下面列出的六个Telnet凭据之一登录,并获得对根帐户的访问权,且该根帐户授予他们对易受攻击设备的完全控制权。
以上Telnet登录凭据在过去几年中已在固件中进行了硬编码,但是这些硬编码被公开披露并且遭到Mirai僵尸网络的滥用。虽然供应商选择禁用Telnet守护进程,然而Yarmak表示这些硬编码的凭据仍然被保留了下来。
Yarmak建议这类设备的所有者考虑改用其他设备,如果设备所有者负担不起新设备的价格,则应将对这些设备的网络访问权限设置为仅对信任用户开放。
03
后门让物联网设备易被黑客恶意利用
IT安全公司Trustwave的安全研究人员发现,某物联网设备中含有一个隐藏的后门。该后门存在于dbltek品牌设备的Telnet管理界面中。
这个后门允许制造商访问,但同时让设备开放给其他人利用。这些设备使用简单的“挑战和响应”机制来允许远程访问。但是研究人员发现这从根本上来说是有缺陷的,因为远程用户除了需要了解挑战本身以及所使用的协议和计算外,不必知道任何密码。此后门最早是在八端口DblTek VoIP GSM网关中发现的。该问题使远程攻击者可以在受影响的设备上获得具有root特权的shell。
研究人员表示,这是一个全球化的问题。来自世界各地制造商的网络设备通过后门服务和账户,一次又一次地成为攻击者的猎物。这些后门通常以提供“远程管理”或“支持”为幌子出现。而制造商对此的响应方式治标不治本。因此,在IoT设备激增的情况下,类似的后门越来越多是必然趋势。
声明
本文由极光无限整合编译,文章言论观点不代表极光无限。
参考来源:
https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/
https://www.zdnet.com/article/researcher-backdoor-mechanism-still-active-in-many-iot-products/
https://internetofbusiness.com/security-chinese-iot-devices/0daybank
文章评论