互联网时代早期的重点是连接人,而今天的重点是连接“物”。从最广泛的意义上讲,物联网 (IoT) 是一个庞大的矩阵,由大量通过互联网无线连接的非标准设备和端点组成。物联网生成的数据具有独特的潜力,可以为独一无二的产品和服务开辟市场机 会,在数字化飞速发展的今天,物联网的应用亦迅速增长。微软最近一份报告的主要调查结果表明,近 88% 的商业决策者认为采用基于物联网的技术对商业成功至关重 要。然而,尽管物联网可以带来业务转型的好处,但企业在采用物联网时仍面临障碍 - Microsoft 的 IoT Signals 调查的 97% 受访者 认为,在实施物联网时,安全问题是一个主要挑战。
现代物联网攻击
所有物联网设备都容易被僵尸网络当作进攻途径,以实施分布式拒绝服务 (DDoS) 攻击。2016年,Mirai 僵尸网络针对超过 600000 台 物联网设备,如路由器和摄像头,发起了大规模 DDoS 攻击,攻击 峰值达到 620 Gbit。这起臭名昭著的事件发生后,新的恶意软件家族开始出现,纷纷发起其他类型的恶意软件攻击。
以 Xbash 为例, 它具有僵尸网络、勒索软件、加密挖矿和自传播功能。Xbash 通过攻击 Linux 和 Microsoft Windows® 服务器中的薄弱密码和未修补的漏洞来扩散,具有数据破坏性。另一个例子是 Muhstik 僵尸网络的一个新变种,它自行安装,并利用其蠕虫般的自传播能力通过加密挖矿和 DDoS 攻击对 Linux 服务器和物联网设备造成严重破 坏。而当前物联网设备的攻击面大致分为三大类:即设备的物理硬件接口、让物联网设备进行连接和通信的通道以及针对物联网设备的应用及服务。
物联网攻击生命周期的阶段
我们已经回顾了物联网攻击面的三种主要类型,现在,我们来讨论物联网攻击生命周期的运作方式。生命周期包括八个阶段:
初始访问
在此阶段,攻击利用网络扫描方法,首先使用快速端口扫描工具(如 ZMap 或 Masscan) 扫描互联网,以定位易受攻击设备的 IP 地址。
执行
在此阶段,攻击会在易受攻击的设备中执行有效负载或命令。
持久性
在第三阶段,执行的恶意软件有效负载在设备上展现持久性。
规避
使用规避技术可确保攻击不会被发现或检测到。
信息的收集
在此阶段,将收集设备信息和敏感文件,如私钥和加密货币钱包。
命令和控制
接下来,恶意负载还接收来自指挥和控制 (C2) 服务器的命令。
横向扩散
物联网攻击的横向移动主要是继续感染本地网络中的大量新设备。
影响
物联网设备中发起的恶意活动对设备有多方面的影响:加密数据以换取赎金、彻底清除磁盘和数据,以及滥用以进行加密挖矿...
在 Palo Alto Networks 的全球威胁情报团队 Unit 42,我们仔细研究了网络攻击对物联网设备的影响,包括设备的总体性能、设备可用性以及物联网设备提供的服务。
物联网设备的网络攻击场景及影响
网络扫描对网络服务的影响
物联网攻击生命周期中最重要的攻击阶段之一是初始访问“网络扫描”阶段,即攻击者开始使用受危害物联网设备中的扫描程序 IP 探测可用的开放端口。通过利用远程代码执行漏洞(通常位于面向互联网的服务端口 37215 上),可以远程发起攻击。
显然,受危害物联网设备中的网络扫描会消耗网络带宽资源。因此,我们设计了一个实验来探索网络扫描对受危害物联网设备中的应用或网络服务的影响。
除了那些依赖网络功能的服务外,网络扫描对大多数服务都有微妙的影响。利用网络扫描行为可能导致网络拥塞,主要影响依赖网络的服务。如果网络延迟超过某个阈值,Ping等服务也可能会生不准确的结果。其他值得注意的影响还包括对客户登录管理网页的响应缓慢,有时浏览器超时等。
具有 C-IoT 应用的行业示例
蜂窝式物联网 (C-IoT) 设备通过利用现有蜂窝网络连接到互联网来运行。在网络层,C-IoT 依赖于低功耗广域网 (LPWAN) 技术,这是一种无线通信网络,能够提供改进的远程覆盖,同时使用时的功 耗低。C-IoT 正在成为越来越占主导地位的 LPWAN 连接选项,以支持低成本、低功耗传感器和物联网设备,实现大规模设备连接。蜂窝物联网包括互补技术、LTE-M、NB-IoT 和 EC-GSM-IoT,这些技术经过优化,非常适合低成本和低功耗物联网应用的需要。
发掘 C-IoT 连接的潜力 C-IoT 在智能制造、农业和智能城市等多个行业都有应用,在行业数字化方面发挥着巨大作用。因此物联网设备可能成为勒索软件非常有吸引力的目标。例如为智能农业中的电网监控、环境监控设置中的烟雾检测等应用提供服务的 C-IoT 传感器,甚至为公用事业部门提供服务的智能电表, 通常都受到电池的限制,并依赖电池作为电源。考虑到在地理位置分散的远程位置设置中更换所有电池的高成本,这一要求使得勒索软件更加有机可乘。
而在攻击中受危害的物联网设备可能会导致电池耗尽,进而致使 C-IoT 设备断电并使物联网服务离线。如果所有 C-IoT 设备的电池都很快耗尽,这几乎会关闭 C-IoT 应用,并可能导致事故。例如,农场可能得不到保护,烟雾探测系统可能无法运行。此外,C-IoT 所有者需要花费大量的时间和金钱来更换电池,甚至可能需要支付比这更多的赎金。
总结
现代物联网恶意软件和攻击(如僵尸网络扫描和传播)的影响在于,它们可能耗尽 CPU 和内存,导致性能降低 90% 以上,影响合法服务的可用性和设备的平均预期寿命。
某些新型攻击可在数小时或数分钟内耗尽蜂窝物联网中的设备电池,这些电池的寿命本可维持 10 年,在正常情况下支持高达 150 Mbps 的正常数据速率。这种性质的攻击可能会导致勒索软件或 DoS 攻击,这可能会造成重大经济损失。
