2018年IoT那些事儿 – 作者:云鼎实验室-安全小百科

2018年，是IoT高速发展的一年，从空调到电灯，从打印机到智能电视，从路由器到监控摄像头统统都开始上网。随着 5G 网络的发展，我们身边的IoT设备会越来越多。与此同时，IoT的安全问题也慢慢显露出来。

腾讯安全云鼎实验室对IoT安全进行了长期关注，本文通过云鼎实验室听风威胁感知平台[注1]收集的IoT安全情报进行分析，从IoT的发展现状、IoT攻击的常见设备、IoT攻击的主要地区和IoT恶意软件的传播方式等方面进行介绍。

一、IoT的发展现状

图片来自网络

近几年IoT设备数量飞速增长， 2018年一共有70亿台IoT设备，每年保持20%左右的速度增长，到2020年预计IoT设备可达99亿台。

图▽ 全球IoT设备增长趋势

数据来源：State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating

随着IoT设备的普及，IoT安全问题越来越多。根据卡巴斯基IoT安全报告New trends in the world of IoT threats，近年来捕获到的IoT恶意样本数量呈现爆炸式的增长，从侧面反映了IoT安全问题越来越严峻。

图▽ IoT恶意样本数量

数据来源：卡巴斯基New trends in the world of IoT threats

二、IoT攻击常见设备与“黑客武器库”

现实生活中哪些IoT设备最容易被攻击呢？这是我们在做研究时第一时间考虑的问题。

被攻击后的设备，通常会进入黑客的武器库。黑客通常通过设备弱口令或者远程命令执行漏洞对IoT设备进行攻击，攻击者通过蠕虫感染或者自主的批量攻击来控制批量目标设备，构建僵尸网络，IoT设备成为了黑客最新热爱的武器。

图▽ IoT最常被攻击的设备类型

数据来源：腾讯安全云鼎实验室

云鼎实验室听风威胁感知平台统计数据显示，路由器、摄像头和智能电视是被攻击频率最高的三款IoT设备，占比分别为45.47%、20.71%和7.61%，实际中，摄像头的比例会更高，本次统计数据未包含全部摄像头弱口令攻击数据。

智能电视存在的安全隐患是ADB远程通过5555端口的调试问题，电视存在被root、被植入木马的风险，本次不做过多介绍。下文中会重点讨论路由器和摄像头的安全问题。

（1）最受黑客欢迎的设备：路由器

据统计，路由器（多数为家庭路由器）在IoT设备中的攻击量占比将近一半。大量恶意攻击者利用主流的品牌路由器漏洞传播恶意软件，构建僵尸网络。

以下为最常被攻击的路由器品牌占比统计：

图▽ 最常被攻击路由器统计

数据来源：腾讯安全云鼎实验室

从统计数据中可以看到，被攻击的路由器多为家庭路由器，通常市场保有量特别巨大，一旦爆出漏洞，影响范围较广。

例如：某公司HG532系列路由器在2017年11月爆出了一个远程命令执行漏洞，而该系列路由器数量巨大，针对该系列路由器的攻击和蠕虫利用非常多，攻击占比高达40.99%。其次是 *_Link系列路由器，*_Link系列路由器爆出过多个远程命令执行漏洞，因此也广受恶意攻击者欢迎。

以下为恶意攻击者利用较多的漏洞列表：

常用端口	漏洞
37215	某公司HG532系列路由器远程命令执行漏洞（CVE-2017-17215）
49152	多个*_Link产品UPnP SOAP接口多个命令注入漏洞
80/8080	*_Link DIR-600和DIR-300中的多个漏洞
52869	*ealtek SDK的miniigd SOAP服务中的远程代码执行漏洞（CVE-2014-8361）
80/8080	*inksys多款路由器tmUnblock.cgi ttcp_ip参数远程命令执行漏洞（CNVD-2014-01260）
80/8080	某公司GPON光纤路由器命令执行漏洞（CVE-2018-10561/62）
8080	*etGear DGN设备远程任意命令执行漏洞
53413	etcore(etis)路由器53413/UDP后门服务漏洞
7547	*IR D1000无线路由器WAN端远程命令注入

（2）经久不衰的攻击：视频摄像头

2016年10月份，黑客通过操纵Mirai感染大量摄像头和其他设备，形成了庞大的僵尸网络，对域名提供商DYN进行DDoS攻击，导致了大面积网络中断，其中Amazon、Spotify、Twitter等知名网络均受到影响。Mirai僵尸网络也成为了IoT安全的标志性事件。

针对摄像头的攻击主要是两种方式，一是弱口令，二是漏洞利用。

A.摄像头弱口令

密码破解是摄像头最常用的攻击方式，一般利用厂家的默认密码。

以下为部分厂家摄像头的最常使用的十大默认用户名/密码：

十大默认用户名/密码
admin/admin	Admin/1234
admin/1234	admin/123456
admin/<无密码>	admin/password
admin/12345	root/pass
root/<无密码>	root/camera

B.摄像头漏洞

EXPLOIT DATABASE收录了120多个摄像头漏洞，如下为搜索到的部分品牌摄像头漏洞：

三、IoT攻击源统计

（1）欧美—IoT恶意代码控制服务器的家乡

云鼎实验室针对恶意代码控制服务器进行了统计，筛选出了IoT恶意代码控制服务器所在国Top 10，位于国外的IoT恶意代码控制服务器占比达到94.72%，中国仅占5.28%，IoT恶意代码控制服务器大量分布在美国和欧洲。

图▽ IoT恶意代码控制服务器国家分布Top10

数据来源：腾讯安全云鼎实验室

（2）中国成IoT攻击活动最频发的国家

图▽ IoT攻击源国家分布Top10

数据来源：腾讯安全云鼎实验室

备注：数据来源于听风蜜罐系统，存在数据的缺失和遗漏的情况，本文只是大致统计趋势和比例，一些国家的数据可能会缺失。

中国是全球IoT攻击最多的国家，同时也是IoT攻击最大的受害国。由于中国拥有较多的IoT设备，很多设备存在漏洞和弱口令，因此设备被恶意软件感染的数量也较为巨大，设备相互攻击感染的问题较为严重。

国内IoT安全问题：

对于国内的IoT安全问题，我们统计了国内Top10攻击源省份：

图▽ IoT攻击源中国省份Top10

数据来源：腾讯安全云鼎实验室

IoT攻击源最多的五个省份是江苏、广东、台湾、北京和浙江，IoT的攻击源分布与GDP有一定的关联性。经济发达的地区IoT设备更多、相关黑产也更加发达，也就成为了重点的IoT攻击源。

长三角和珠三角是我国经济最发荣的地区，同时也是IoT攻击最泛滥的地区。下面是云鼎实验室对江苏省和广东省的IoT 攻击源分布的统计情况。

江苏省IoT攻击情况如下：

图▽ IoT攻击源江苏省各地区分布

数据来源：腾讯安全云鼎实验室

其中苏州、扬州等长三角城市IoT攻击较多，这与经济发展情况有一定的关联。长三角各城市经济发达，街边各个商店的摄像头（个人安装）、路由器普及率非常高。设备多、设备漏洞多、缺乏有效的管理，导致设备被利用，从而成为较大的一个攻击源。

广东省IoT攻击情况如下：

图▽ IoT攻击源广东省各地区分布

数据来源：腾讯安全云鼎实验室

广东省的情况是类似的，IoT攻击活跃在经济发达地区，珠江三角洲最为活跃的两个城市分别是深圳和广州。深圳作为科技创新城市，大批量IoT设备在深圳生产，同时IoT设备被大批量普及，IoT漏洞普遍存在，深圳也不乏相关的黑产团伙，从而IoT设备的安全问题也是很严重的。

四、IoT恶意软件传播统计

（1）DDoS依然是IoT恶意软件的主流功能

因IoT设备近几年的几何级数的增长，已接近百亿量级，但众多不同设备，往往却可以被同一恶意代码家族感染，这些家族主要的功能以DDoS居多。

下图是IoT设备在DDoS上如此受黑客青睐的四个主要原因。

☞ 几何级数暴增

IoT设备的暴增为DDoS的成长提供了温床。为了利于远程管理，IoT设备普遍暴露在互联网中，为承载DDoS功能的恶意样本进行扫描和传播提供了便利。同时各IoT厂家良莠不齐的技术基础，导致各IoT设备自身的系统与应用暴露出各种漏洞以被攻击者恶意利用。

☞ 跨多平台传播

承载DDoS攻击的家族，往往用一套标准代码，以各种IoT设备的弱口令、系统/应用漏洞的嵌入为基础，然后在mips、arm、x86等各种不同的平台环境编译器下进行编译，最终达到一个家族跨多个平台、互相感染传播的目的，使传播更迅速。

☞ TB级流量攻击

IoT设备数据庞大、安全性差、多数暴露外网，在跨多平台家族样本面前便不堪一击。往往选好传播弱口令与漏洞，从IoT僵尸网络搭建到数量达到一定规模，往往几天的时间便可完成。因为肉鸡被抓取后便成为了一个新的扫描源，如此反复便是一个成倍递增的扫描能力。而事实证明，十万量级的僵尸网络便可以打出TB级的攻击流量。

☞ 慢速CC攻击

因CC攻击是建立在TCP三次握手之上，所以以发包机形式进行攻击能力较弱，这也是肉鸡在DDoS上的一个不可替代的功能。IoT肉鸡正是此攻击较好的攻击载体，如此大量的肉鸡群，再辅以慢速CC攻击方式，DDoS防御设备较难以数量统计阈值等方法进行检测。

（2）超过8成恶意软件具备自我传播功能

通过分析，发现近8成恶意软件具有自我传播的功能模块，说明攻击者更倾向于通过蠕虫的方式构建僵尸网络。

对于攻击者来说，传播IoT恶意软件有两种方式：

A.利用服务器进行集中式扫描攻击，并向IoT设备植入恶意软件

由于服务器的硬件配置较高，能够同时发起大量扫描攻击，且攻击者可以随时添加新的扫描攻击模块。对于攻击者来说，这种方式更加灵活可控。

B.通过蠕虫传播攻击

每个被恶意软件感染的设备都会主动扫描其他设备并进行攻击。可以快速让僵尸网络指数级的增长。

（3）弱口令传播方式依旧盛行，Telnet/SSH是主要传播途径

弱口令攻击是IoT恶意软件的传播方式之一，最流行的传播途径是Telnet，其次是SSH。

下面列举一些恶意样本中出现的特定设备帐号和弱密码：

设备	帐号	密码
某公司E-140W-P光猫	telnetadmin	telnet***
某公司HGU421v3光猫	e8telnet	e8te***
某公司E8C光猫	e8ehome	e8e***
某公司宽带	telecomadmin	nE7j***
某公司光猫	root	Zte***
某公司摄像头	root	vi***
某公司DVR	admin	xc3***
某公司光猫	root	hg***

2016年Mirai事件爆发后，IoT设备的弱口令问题得到广泛关注，一些设备使用者修改了默认密码，提高了设备安全性。

（4）IoT漏洞传播成为恶意软件主流的传播方式

IoT 厂商的防御意识逐渐增强，弱口令传播方式效果逐渐减弱，攻击者开始使用漏洞进行恶意软件的植入。

由于IoT设备固件更新慢、IoT厂商对漏洞不重视、IoT设备用户对漏洞不重视这三个原因导致市面上存在大量的有漏洞IoT设备。这些设备会长期在线，即使用户设备被感染，用户也没有什么感知。这也是IoT僵尸网络与传统PC僵尸网络的区别—更大数量、更易获得、更加稳定。

这里以IoT恶意软件Linux.Omni为例，该恶意软件使用了11种不同的漏洞，包括常用的路由器与摄像头漏洞，红色字体为最多利用的漏洞。

漏洞	影响设备
	*asan GPON路由器
CVE-2014-8361	使用带有miniigd守护程序的 *ealtek SDK的不同设备
*etGear setup.cgi未经身份验证的RCE	*etGear DGN1000路由器
CVE-2017-17215	某公司 HG532
*IR WAN侧远程命令注入	*IR D1000路由器
HNAP SoapAction-Header命令执行	*_Link设备
CCTV/DVR远程执行代码	来自70多家供应商的闭路电视，DVR
JAWS Webserver未经身份验证的shell命令执行	*VPower DVR等
UPnP SOAP TelnetD命令执行	*_Link设备
*etGear cgi-bin命令注入	*etGear R7000/R6400设备
*acron NVR RCE	*acron NVR设备