□ 文 高 勝 賈子驍 王適文 李志輝 王小群

近年來，聯(lián)網(wǎng)智能設(shè)備安全事件時有發(fā)生，CNCERT對相關(guān)情況開展了持續(xù)的跟蹤分析。CNCERT監(jiān)測發(fā)現(xiàn)，2017年我國聯(lián)網(wǎng)智能設(shè)備（以下簡稱“智能設(shè)備”）在安全漏洞、惡意代碼及攻擊活動等方面主要表現(xiàn)出如下特點(diǎn)：

在漏洞方面，智能設(shè)備漏洞數(shù)量大幅增加。國家信息安全漏洞共享平臺（CNVD）2017年公開收錄智能設(shè)備通用型漏洞2440個，同比增長118%。按漏洞類型統(tǒng)計(jì)，占比排在前三位的類型分別是權(quán)限繞過（27%）、信息泄露（15%）、命令執(zhí)行（13%）。路由器及網(wǎng)關(guān)、攝像頭及視頻系統(tǒng)、機(jī)頂盒等類型設(shè)備漏洞數(shù)量多，是漏洞攻擊的重要目標(biāo)，利用漏洞入侵打印機(jī)等辦公設(shè)備正在成為黑客竊取重要單位內(nèi)部文件和數(shù)據(jù)的途徑。

在惡意代碼攻擊活動方面，境外控制服務(wù)器控制我國境內(nèi)的大批量智能設(shè)備。CNCERT抽樣監(jiān)測發(fā)現(xiàn)2017年下半年我國境內(nèi)感染惡意代碼的受控智能設(shè)備IP地址數(shù)量約129.8萬，占比最大的是浙江（14.7%）、山東（13.3%）、江蘇（10.6%）?？刂莆覈悄茉O(shè)備的境外控制服務(wù)器IP地址數(shù)量約1.22萬個，占比最大的是美國（30.3%）、俄羅斯（12.3%）、韓國（5.5%）。受控設(shè)備規(guī)模在1萬以上的智能設(shè)備木馬僵尸網(wǎng)絡(luò)有39個，控制端主要分布在荷蘭（11個）、美國（11個）、俄羅斯（7個）和意大利（7個）等國家和地區(qū)，其中受控設(shè)備規(guī)模在5萬以上的僵尸網(wǎng)絡(luò)有5個。

圖1 IOT設(shè)備漏洞數(shù)量TOP廠商排名

圖2 按漏洞類型TOP分布

圖3 漏洞（通用）按設(shè)備類型TOP分布

圖4 漏洞（事件型）按設(shè)備類型TOP分布

圖5 WIFICAM身份繞過漏洞攻擊趨勢圖

一、智能設(shè)備漏洞情況

智能設(shè)備存在的軟硬件漏洞可能導(dǎo)致設(shè)備數(shù)據(jù)和用戶信息泄露、設(shè)備癱瘓、感染僵尸木馬程序、被用作跳板攻擊內(nèi)網(wǎng)主機(jī)和其他信息基礎(chǔ)設(shè)施等安全風(fēng)險(xiǎn)和問題。CNVD持續(xù)對智能設(shè)備（IOT設(shè)備）漏洞開展跟蹤、收錄和通報(bào)處置，2017年漏洞收錄情況如下。

1、通用型漏洞收錄情況

通用型漏洞一般是指對某類軟硬件產(chǎn)品都會構(gòu)成安全威脅的漏洞。2017年CNVD收錄通用型IOT設(shè)備漏洞2440個，與去年同期相比增長118.4%。按收錄漏洞所涉及廠商、漏洞的類型、影響的設(shè)備類型統(tǒng)計(jì)如下：

漏洞涉及廠商包括谷歌、思科、華為等廠商。其中，收錄安卓生產(chǎn)廠商谷歌IOT設(shè)備漏洞948條，占全年IOT設(shè)備漏洞的32%；思科位列第二，共收錄250條；華為和友訊科技分列第三和第四，如圖1所示。

漏洞類型包括權(quán)限繞過、信息泄露、命令執(zhí)行、拒絕服務(wù)、跨站、緩沖區(qū)溢出、SQL注入、弱口令、設(shè)計(jì)缺陷等漏洞。其中，權(quán)限繞過、信息泄露、命令執(zhí)行漏洞數(shù)量位列前三，分別占公開收錄漏洞總數(shù)的27%、15%、13%，如圖2所示。

漏洞影響的設(shè)備類型包括包括手機(jī)設(shè)備、路由器、網(wǎng)絡(luò)攝像頭、會議系統(tǒng)、防火墻、網(wǎng)關(guān)設(shè)備、交換機(jī)等。其中，手機(jī)設(shè)備、路由器、網(wǎng)絡(luò)攝像頭的數(shù)量位列前三，分別占公開收錄漏洞總數(shù)的45%、11%、8%，如圖3所示。

2、事件型漏洞收錄情況

事件型漏洞一般是指對一個具體應(yīng)用構(gòu)成安全威脅的漏洞，2017年CNVD收錄IOT設(shè)備事件型漏洞306個。所影響的設(shè)備包括智能監(jiān)控平臺、網(wǎng)絡(luò)攝像頭、GPS設(shè)備、路由器、網(wǎng)關(guān)設(shè)備、防火墻、一卡通、打印機(jī)等。其中，智能監(jiān)控平臺、網(wǎng)絡(luò)攝像頭、GPS設(shè)備漏洞數(shù)量位列前三，分別占公開收錄漏洞總數(shù)的27%，18%，15%，如圖4所示。

圖6 被利用發(fā)起WIFICAM漏洞攻擊的疑似受控設(shè)備IP地址境內(nèi)分布圖

二、智能設(shè)備漏洞監(jiān)測分析案例

1、針對網(wǎng)絡(luò)攝像機(jī)WIFICAM的身份權(quán)限繞過漏洞攻擊

權(quán)限繞過漏洞在CNVD收錄漏洞種類數(shù)量中排名第一，本節(jié)對其中一種攻擊活動非常頻繁的身份權(quán)限繞過漏洞（收錄號CNVD-2017-06897）進(jìn)行介紹，受漏洞影響的設(shè)備是遠(yuǎn)程網(wǎng)絡(luò)攝像機(jī)WirelessIP Camera(P2P)WIFICAM。該攝像機(jī)Web服務(wù)沒有正確檢查.ini配置文件的訪問權(quán)限，攻擊者可通過構(gòu)造賬號密碼為空的Http請求繞過身份認(rèn)證程序下載配置文件和賬號憑證。根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù)，10月22日至12月31日期間，此類漏洞的每日攻擊次數(shù)在40萬次以上，其中11月7日高達(dá)3000萬次，如圖5所示。

根據(jù)分析，除少數(shù)漏洞驗(yàn)證探測服務(wù)器和黑客惡意服務(wù)器，大部分發(fā)起漏洞攻擊/掃描的IP地址實(shí)際上是被利用的受控智能設(shè)備或受控主機(jī)的IP地址，其中位于我國境內(nèi)的IP地址約10.5萬個，排名前5的是河北、新疆、遼寧、江蘇和吉林，各省市詳細(xì)數(shù)據(jù)見圖6。

表1 部分品牌的聯(lián)網(wǎng)智能攝像頭IP數(shù)量分布情況

2、部分品牌智能攝像頭弱口令漏洞情況

弱口令漏洞是聯(lián)網(wǎng)智能攝像頭的一個威脅高卻極易利用的漏洞，CN CER T持續(xù)關(guān)注此類漏洞修復(fù)情況。2017年12月底，CNCERT再次對部分品牌在互聯(lián)網(wǎng)上暴露的智能攝像頭及其弱口令漏洞情況進(jìn)行了抽樣監(jiān)測分析。這些智能攝像頭聯(lián)網(wǎng)IP地址在境內(nèi)分布情況見表1的第2列，江蘇、浙江、山東等省的智能攝像頭聯(lián)網(wǎng)IP地址均超過5萬個，其中可能存在弱口令漏洞的攝像頭聯(lián)網(wǎng)IP地址在境內(nèi)分布情況見表1的第3列，浙江、廣東、江蘇的數(shù)量排名前3?？紤]到各省市區(qū)的聯(lián)網(wǎng)智能攝像頭總數(shù)存在較大差異，我們選取弱口令漏洞攝像頭百分比（某省互聯(lián)網(wǎng)上暴露的弱口令漏洞攝像頭IP數(shù)量占該省互聯(lián)網(wǎng)上暴露的全部攝像頭IP數(shù)量的百分比）反映各省市區(qū)的弱口令漏洞攝像頭比例及修復(fù)情況，發(fā)現(xiàn)重慶、四川、福建等地區(qū)的弱口令漏洞攝像頭比例相對較高，見表1的第4列。

三、智能設(shè)備惡意代碼攻擊活動情況

目前活躍在智能設(shè)備上的惡意代碼主要包括Ddosf、Dof loo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Satori，這些惡意代碼及其變種可通過Telnet、SSH等遠(yuǎn)程管理服務(wù)弱口令漏洞、操作系統(tǒng)漏洞、Web及其他應(yīng)用漏洞、密碼暴力破解等途徑入侵和控制智能設(shè)備。

1、智能設(shè)備惡意代碼特點(diǎn)

圖7 2017年下半年IOT惡意代碼控制服務(wù)器IP地址分布圖

圖8 2017年下半年IOT惡意代碼受控設(shè)備IP地址分布圖

（1）惡意代碼感染的硬件平臺廣、設(shè)備種類多。智能設(shè)備惡意代碼多數(shù)支持嵌入式Linux操作系統(tǒng)，具有跨平臺感染能力，可入侵感染Arm、Mips、X86和Powerpc等多種硬件平臺架構(gòu)的設(shè)備。

（2）惡意代碼結(jié)構(gòu)復(fù)雜、功能模塊分工精細(xì)。部分惡意代碼結(jié)構(gòu)復(fù)雜、分工精細(xì)，具有蠕蟲式掃描和暴力破解、漏洞設(shè)備信息上報(bào)采集、漏洞攻擊與木馬植入、C&C命令控制等多個模塊，各功能模塊可分布在不同的服務(wù)器或設(shè)備上，提高了監(jiān)測跟蹤和協(xié)調(diào)處置的難度。

（3）惡意代碼變種數(shù)量多、更新升級快。由于Mirai、Gafgyt和Tsunami等惡意代碼的源代碼已公開，此類惡意代碼的更新升級速度快、變種數(shù)量多，目前變種數(shù)量已經(jīng)超過100種。9至10月份出現(xiàn)的Mirai變種IoT_reaper，其樣本中集成了9個智能設(shè)備漏洞，變種代碼將最新批露的漏洞利用代碼集成進(jìn)入樣本中，其中一個漏洞在公開后僅2天就被集成和利用。

2、智能設(shè)備惡意代碼攻擊活動情況

C N C E R T對智能設(shè)備上感染的Gafgyt、MrBlack、Tsunami、Mirai、Reaper、Ddostf等部分惡意代碼的攻擊活動開展抽樣監(jiān)測，詳細(xì)情況如下。

（1）惡意代碼控制服務(wù)器數(shù)量及分布情況

2017年下半年，監(jiān)測發(fā)現(xiàn)控制服務(wù)器IP地址累計(jì)數(shù)量約1.5萬個，約81.7%的IP地址位于境外，排名前三的國家和地區(qū)依次為美國、俄羅斯、韓國。位于我國境內(nèi)的控制服務(wù)器IP地址數(shù)量為2806個，排名前三的省市依次是北京、山東、廣東，詳細(xì)分布如圖7所示。

（2）受控設(shè)備數(shù)量及分布情況

2017年下半年，監(jiān)測發(fā)現(xiàn)的受控智能設(shè)備IP地址的累計(jì)數(shù)量為293.8萬個,位于我國境內(nèi)的受控IP數(shù)量129.8萬,占比約44.1%，其中受控IP地址數(shù)量在5萬以上的省份依次是浙江、山東、江蘇、遼寧、河北、河南、廣東、重慶, 詳細(xì)分布如圖8所示。

（3）木馬僵尸網(wǎng)絡(luò)規(guī)模統(tǒng)計(jì)分析

CNCERT對智能設(shè)備木馬僵尸網(wǎng)絡(luò)規(guī)模進(jìn)行分析，2017年下半年木馬僵尸網(wǎng)絡(luò)控制規(guī)模（單個控制服務(wù)器所控制的受控設(shè)備IP地址的累計(jì)數(shù)量）在1千以上的僵尸網(wǎng)絡(luò)有343個，在1萬以上的僵尸網(wǎng)絡(luò)有39個，在5萬以上的僵尸網(wǎng)絡(luò)有5個?？刂贫酥饕植荚诤商m、美國、法國、意大利和俄羅斯等國家和地區(qū)，詳細(xì)情況見表2。

表2 2017年下半年智能設(shè)備木馬僵尸網(wǎng)絡(luò)控制規(guī)模統(tǒng)計(jì)情況

圖9 2017年下半年IOT惡意代碼攻擊活動變化趨勢圖

（4）惡意代碼攻擊活動變化趨勢

2017年下半年，抽樣監(jiān)測發(fā)現(xiàn)每日活躍的受控智能設(shè)備IP地址平均數(shù)量約2.7萬個、控制服務(wù)器IP地址平均數(shù)量173個，處于持續(xù)活躍態(tài)勢，7月26日至8月2日、10月17日至11月3日、11月28日至12月1日惡意代碼攻擊活動更加頻繁，其中10月26日的單日活躍受控IP地址數(shù)量達(dá)到峰值69584個、單日活躍控制服務(wù)器IP地址數(shù)量達(dá)到峰值616個，如圖9所示。

3、受控智能設(shè)備DDoS攻擊情況

與個人電腦有所不同，路由器、交換機(jī)和網(wǎng)絡(luò)攝像頭等設(shè)備一般是不間斷的聯(lián)網(wǎng)在線，并且被控后用戶不易發(fā)現(xiàn)，是DDoS攻擊的穩(wěn)定攻擊源，黑客利用這些“穩(wěn)定”的受控智能設(shè)備對公共互聯(lián)網(wǎng)上其他目標(biāo)發(fā)動DDoS等網(wǎng)絡(luò)攻擊。CNCERT對Gafgyt等木馬僵尸網(wǎng)絡(luò)發(fā)動的DDoS攻擊進(jìn)行抽樣監(jiān)測和分析，發(fā)現(xiàn)境外控制端利用大量境內(nèi)受控設(shè)備對境內(nèi)外的目標(biāo)發(fā)動DDoS攻擊，表3是攻擊流量較大的部分DDoS攻擊事件數(shù)據(jù)，數(shù)據(jù)顯示DDoS攻擊發(fā)起方的控制端IP地址位于境外的丹麥、美國和荷蘭等國家和地區(qū)，DDoS攻擊受害方的目標(biāo)IP也位于境外的美國、德國、土耳其、丹麥和加拿大等國家和地區(qū)，而被利用的DDoS攻擊資源“肉雞”則是我國大量被入侵控制的智能設(shè)備。

表3 2017年 Gafgyt等僵尸網(wǎng)絡(luò)發(fā)動DDoS攻擊（10Gbps以上）的部分事件

四、聯(lián)網(wǎng)智能設(shè)備安全防護(hù)建議

CNCERT建議相關(guān)廠商和廣大用戶更加重視聯(lián)網(wǎng)智能設(shè)備安全問題，做好相關(guān)網(wǎng)絡(luò)安全防護(hù)：

1、建議智能設(shè)備廠商加強(qiáng)產(chǎn)品的安全測試認(rèn)證和技術(shù)防護(hù)能力，提升設(shè)備產(chǎn)品安全防護(hù)技術(shù)水平，做好設(shè)備產(chǎn)品自查工作，產(chǎn)品投放市場前做好安全測試，建立積極有效的應(yīng)急處置措施機(jī)制，及時修復(fù)設(shè)備漏洞。

2、建議智能設(shè)備用戶及相關(guān)使用單位提高安全意識，規(guī)范設(shè)備安全配置，及時更新升級固件、修復(fù)漏洞，避免設(shè)備使用默認(rèn)密碼或弱密碼，關(guān)閉不必要的遠(yuǎn)程服務(wù)端口。如需開放遠(yuǎn)程端口，建議配置防火墻策略、設(shè)置NAT映射和更改為非默認(rèn)端口等措施，非必要情況下盡量不在設(shè)備中留存姓名、身份證、賬號、電話、住址等個人信息。

3、發(fā)現(xiàn)設(shè)備不明異常后，及時與安全機(jī)構(gòu)或廠商聯(lián)系，關(guān)注CNCERT發(fā)布的相關(guān)公告，采取應(yīng)對措施避免安全風(fēng)險(xiǎn)和隱患?！?/p>

敬請關(guān)注國家互聯(lián)網(wǎng)應(yīng)急中心公眾號