当前位置: CompoTech China > 专题 >
 

防护从天边开始

本文作者:徐俊毅       点击: 2021-02-28 20:25
前言:
Akamai全球最大的CDN服务商之一,同时号称拥有全球最大数量的物联网节点设备。这张来自akamai公司的网站截图,清晰反映出了包括物联网IoT设备在内的整个internet的实时资安状况。

图1:2021年1月初 当日上午10点左右的实时攻击数量已经超过4700万次 图片来源 : www.akamai.com
 
注:Akamai诞生于麻省理工学院,总部位于波士顿,在1998年发明CDN技术架构之后组建公司,据称全世界90%的互联网用户经过1跳(可以简化为寻找最近的线路节点)就可以找到Akamai服务器,在全球500强企业中有300家是他们的客户。
 
60天300亿次爬虫请求和60亿次恶意登陆请求
Akamai公布的2020年上半年的网络安全报告指出,在一个60天的周期内,他们观测了针对全球的游戏用户的攻击。总共统计到了300亿次的敏感资讯网络爬虫请求和60亿次的恶意登陆请求。这仅仅是针对游戏用户的一项统计,扩展的其他行业,这个数字会更加庞大。
 
高密度的攻击行为反映出,任何人、企业、机构的数据时时面临被非法获取,而巨量的登陆请求表明,如果你的设备使用123456之类的简单登陆密码,就意味着向全世界提供“无私”的共享内容。
 
攻击方式上透过web应用层的攻击比2019年增长了42%,高科技公司和电商平台是主要被攻击对象,而越来越多网站平台使用的API(应用程序接口)也成为爬虫攻击的重点区域,或者是获取用户资料,或者刺探商业机密。
 
远程攻击者采用海量攻击的一个重要工具就是使用僵尸网络(Botnet)。

注:攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同古老传说中的僵尸群一样被人驱赶和指挥着,成为被有心人利用的一种工具。
 
如今的僵尸网络设备已经不仅仅局限于传统意义上电脑,包括云、物联网在内的各种设备,都存在被僵尸网络利用的可能性。利用僵尸网络设备,攻击者,可以瘫痪正常的信息系统,传播病毒,非法获取敏感数据,同时还可以有效隐藏攻击者的位置。包括电子邮件欺诈,钓鱼,勒索病毒等近年来危害巨大的网络犯罪行为,后面都有僵尸网络的影子。
 
联合35国 8年重击全球最大的僵尸网络Necurs
2020年3月,微软宣布他们成功摧毁了Necurs,这个劫持了大量基础设施,感染超900万台的计算设备的僵尸网络,同时获得法院指令接管美国境内现有的Necurs域名。
 
微软的成功得益于35个国家和地区的警方以及私人科技公司的一致行动。核心技术是微软破解了Necurs僵尸网络生成新域名的算法-DGA,这种自动化快速生成的域名可以使得僵尸网络的邮件发送服务逃避现有的黑名单检测技术,提高垃圾邮件的到达率,达到分发恶意软件的目的。
 
微软负责客户安全和信任的副总裁汤姆·伯特表示:“我们能够准确预测(Necurs)未来25个月生成的600万个域名。破解技术能够阻止Necurs控制者利用这些域名注册网站,进而阻止他们的网络犯罪行为。“
 
Necurs在2012年被首次发现,在过去的这些年,Necurs透过大量发送垃圾邮件,为灰色世界分发恶意软件,加密劫持软件以及勒索软件,2017年的统计显示他们已经可以做到每小时发送500万封电子邮件。有报告指出全球90%的恶意软件传播都是透过了他们的垃圾邮件分发实现的。

尽管微软宣布他们捣毁了这个僵尸网络,但实际上在2015年,FBI和NCA就联合行动打击过Necurs,只是很快他又复活,并用于传播勒索病毒。所以长期来看,针对僵尸网络的行动远远没有结束。
 
物联网设备是薄弱环节
来自ARM的数据显示,从云端到边缘,采用ARM核心的设备已经超过1000亿个,并且随着物联网的发展,到达万亿数量级也不会等太久。物联网设备数量庞大,安全等级参差不齐,而且有很多设备真的是远在天边,因此是网络攻击的重灾区。
 
综合Gartener,Strategy,Cisco等公司的数据发现,早在2011年,全球的5亿个左右的IoT设备中,大部分都是不具备安全防护能力或者低防护能力的设备,但随着IoT设备安全漏洞频发,僵尸网络的兴起,IoT设备的安全等级也在迅速提升,到了2017年,全球一半左右的IoT设备具备了较强的安全防护能力,2020年全球物联网设备已经到达500亿这个数量等级,这其中9成以上的设备装备了安全防护功能。但从另一个角度来看,防护能力较弱的IoT设备仍然是以亿为单位进行计量的。
 
越来越多传统企业在工业和关键基础设施环境中使用的IoT,数字转型增加了这些环境中的连接性和设备数量,从而导致更高的资安风险。在这些应用场景中,很多物联网IoT设备和协议是多年前设计的,缺乏加密、强身份验证和加固的软件堆栈等防范风险的能力。这些设备一旦遭遇攻击,可能会对公司造成重大影响,包括安全事件、代价高昂的生产停机时间,以及窃取有关专有配方和制造工艺的信息等敏感知识产权。
 
图2:2020年前7个月MSTICAzure云端部署的蜜罐收到超过50 亿次攻击

数据源: Microsoft_Digital_Defense_Report_2020  www.microsoft.com
 
为了收集有关远程终端、路由器和物联网设备攻击的情报,微软威胁情报中心(MSTIC)在Azure和一系列其他云提供商上部署了蜜罐(旨在模拟网络犯罪分子的可能目标)。蜜罐使用各种已知协议与攻击者进行交互。整个公司的安全团队分析这些数据,以发现新的趋势和新出现的威胁。
 
仅2020年上半年,针对这些物联网蜜罐的攻击相比2019年下半年增长了35%,整个2020年针对物联网设备的攻击数量将超过前5年的总和。在他们一项分析中发现,攻击者利用物联网设备估计的远程升级功能,获取了root权限,从而让这家IP摄像头数百万台设备的视频信息可能被攻击者获取。 
 

3: 众多传输协议中 telnet 成为攻击重点


数据源: Microsoft_Digital_Defense_Report_2020  www.microsoft.com


针对已知协议的攻击中,Telnet这种未经加密的明文传输协议和弱密码让攻击者能够狗轻易得手。
 
除了从远端发动攻击,由于IoT设备无所不在的特性,很多攻击从远端变成了本地攻击。攻击者直接攻击IoT设备的关键芯片,由此获得他们想要的数据,而这部分正是IC制造商们正在进行的芯片硬件安全升级的工作。