根據(jù)創(chuàng)新擴(kuò)散理論（Diffusion of Innovation），目前尚未跨越鴻溝到達(dá)物聯(lián)網(wǎng)（IoT）主流市場(chǎng)采納（目前的部署數(shù)量為84億，預(yù)測(cè)2020年將達(dá)200～300億，2035年達(dá)到1兆）。被駭?shù)腎oT裝置試圖跨越鴻溝到未來(lái)，未來(lái)應(yīng)該是光明且自動(dòng)化的，但如果不處理好威脅問(wèn)題的話，未來(lái)愿景將無(wú)法實(shí)現(xiàn)。

F5 Labs與其數(shù)據(jù)合作伙伴L(zhǎng)oryka一起追蹤了兩年的“獵殺IoT”。主要圍繞23端口Telnet暴力攻擊，因?yàn)樗鼈兪瞧茐奈锫?lián)網(wǎng)設(shè)備最簡(jiǎn)單、最常見(jiàn)危及物聯(lián)網(wǎng)設(shè)備的安全的方式。從技術(shù)的角度來(lái)看，他們只需要在攻擊計(jì)劃中采取更多步驟，并且針對(duì)非標(biāo)準(zhǔn)端口和協(xié)議、特定制造商、設(shè)備類型或型號(hào)，就可以全面發(fā)動(dòng)攻擊。例如，至少有4,600萬(wàn)個(gè)家庭路由器容易受到攻擊。我們已經(jīng)目睹了攻擊者正在演變他們的手段和目標(biāo)市場(chǎng)，以便像合法企業(yè)和金融市場(chǎng)那樣透過(guò)妥協(xié)的物聯(lián)網(wǎng)設(shè)備來(lái)賺錢。

該研究也發(fā)現(xiàn)，有新的威脅網(wǎng)絡(luò)和IP地址不斷地加入物聯(lián)網(wǎng)狩獵行列，成為新威脅參與者，并且隨著時(shí)間的推移，已經(jīng)演變?yōu)橐恢鹿泊娴捻敿?jí)威脅參與者。它們可能使用受歡迎的網(wǎng)絡(luò)如托管服務(wù)提供商，或電信網(wǎng)絡(luò)中的住宅物聯(lián)網(wǎng)設(shè)備，利用家庭路由器、無(wú)線IP攝影機(jī)和DV R透過(guò)Telnet進(jìn)行攻擊，并發(fā)起DDoS攻擊。

1殭尸物聯(lián)網(wǎng)的威脅持續(xù)存在

經(jīng)過(guò)兩年的數(shù)據(jù)分析后，仍然看到同樣的威脅IP、網(wǎng)絡(luò)和國(guó)家在發(fā)動(dòng)攻擊。這代表若不是惡意流量未被處理，否則就是遭感染的IoT裝置沒(méi)有接受凈化，要不然不會(huì)一再地看到相同的威脅者。這些攻擊建立了強(qiáng)大的殭尸物聯(lián)網(wǎng)，具備發(fā)動(dòng)全球毀滅性攻擊的能力，而安全產(chǎn)業(yè)也越來(lái)越頻繁的發(fā)現(xiàn)它們，如圖1所示。

▲ 圖1 由物聯(lián)網(wǎng)攻擊機(jī)器人（Thingbot）發(fā)起的前十五大攻擊

因此，本期報(bào)告首度揭露這些攻擊IP。非僅殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的頻率增加，單是2018年1月就有四個(gè)新殭尸物聯(lián)網(wǎng)，而且攻擊者的攻擊方法持續(xù)進(jìn)化，除了Telnet之外，還瞄準(zhǔn)一些協(xié)議，為的是確保能夠盡可能獵殺最多脆弱的IoT裝置，如圖2所示。

▲圖2 透過(guò)Telnet實(shí)施的網(wǎng)絡(luò)攻擊

2Telnet攻擊構(gòu)筑大規(guī)模殭尸物聯(lián)網(wǎng)

盡管IoT攻擊已擴(kuò)充至Telnet以外的協(xié)議，不過(guò)Telnet暴力攻擊仍然是最普遍使用的手法，數(shù)量從2016到2017成長(zhǎng)249%。2017年7～12月期間的攻擊數(shù)量低于前六個(gè)月期，然而攻擊層級(jí)則和Mirai相當(dāng)，而且比用來(lái)構(gòu)筑Mirai的數(shù)量還多，如圖3所示。這個(gè)攻擊數(shù)量足以構(gòu)筑許多相當(dāng)大規(guī)模的殭尸物聯(lián)網(wǎng)，因此縱使數(shù)量減少，但并不表示攻擊者興趣減低或者威脅降低，而是因?yàn)檫^(guò)去已有如此眾多Telnet攻擊，因此攻擊者達(dá)到一個(gè)飽和點(diǎn)。Telnet唾手可得的果實(shí)很容易被撿走。

▲圖3 2016年1月至2017年12月每季Telnet攻擊統(tǒng)計(jì)

若以過(guò)去兩年的Telnet攻擊活動(dòng)和Telnet殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的時(shí)候做比較，就可以從數(shù)據(jù)看出安全研究人員總是比攻擊者落后數(shù)個(gè)月（若非數(shù)年的話）。已報(bào)導(dǎo)的Telnet攻擊，至少已建構(gòu)九個(gè)相當(dāng)大的殭尸物聯(lián)網(wǎng)，而且還有空間可建構(gòu)更多殭尸物聯(lián)網(wǎng)，只是目前尚未發(fā)現(xiàn)（圖4）。

▲圖4 來(lái)自Thingbot的Telnet攻擊統(tǒng)計(jì)

3Mirai殭尸物聯(lián)網(wǎng)正在增長(zhǎng)

已知的殭尸物聯(lián)網(wǎng)例如Mirai和Persirai（透過(guò)Telnet攻擊）盡管大家普遍知道它們的存在和威脅，但仍繼續(xù)成長(zhǎng)。從2017年6月到12月，Mirai在拉丁美洲顯著成長(zhǎng)，而在美國(guó)、加拿大、歐洲、中東、非洲、亞洲和澳洲也都呈現(xiàn)中度成長(zhǎng)，如圖5所示。

▲圖5 2017年12月全球Mirai殭尸物聯(lián)網(wǎng)分布圖

4依照地區(qū)區(qū)分攻擊來(lái)源和目標(biāo)

中國(guó)、美國(guó)和俄羅斯是三大攻擊國(guó)。在這段期間，44%攻擊源自中國(guó)，另外44%源自十大攻擊國(guó)的第2到第10排名國(guó)家，每一個(gè)國(guó)家占總數(shù)量的10%以下。其余22%源自一些流量少于1%的數(shù)個(gè)國(guó)家，如圖6所示。

▲圖6 前十名攻擊來(lái)源國(guó)家

沒(méi)有特別突出的IoT攻擊目標(biāo)國(guó)，因?yàn)榇嗳醯腎oT裝置無(wú)差別地部署在全球。沒(méi)有任何國(guó)家擁有一個(gè)未遭受攻擊的安全I(xiàn)oT部署。在報(bào)告的六個(gè)月期間，最常遭受攻擊的國(guó)家為美國(guó)、新加坡、西班牙和匈牙利，如圖7所示。

▲圖7 前十名最常遭受攻擊的國(guó)家

5依產(chǎn)業(yè)區(qū)分攻擊

在這段期間，前五十大攻擊自治系統(tǒng)編號(hào)（ASN）有80%屬于電信或ISP公司，那正是IoT裝置駐留的地方（相較于主機(jī)代管公司的服務(wù)器）。若要讓IoT發(fā)動(dòng)攻擊，就必須駭入這些裝置。

6威脅的下一步？

物聯(lián)網(wǎng)裝置由于安全性很差而且實(shí)行全球規(guī)模的廣泛部署，因此必須將它們視為一種迫切的威脅。十年來(lái)，它們不但已被駭并且繼續(xù)被當(dāng)成攻擊的武器，而我們甚至還沒(méi)有邁入IoT的大量消費(fèi)者采納階段。如果不開(kāi)始著手處理這個(gè)問(wèn)題，可以確定的是，未來(lái)將會(huì)很混亂。IoT安全性必須靠個(gè)人、政府和制造商共同維護(hù)，包括全球網(wǎng)民應(yīng)該做的事、企業(yè)和政府（他們都建置IoT并遭受IoT攻擊）應(yīng)該做的事、以及IoT制造商應(yīng)該結(jié)合到產(chǎn)品開(kāi)發(fā)生命周期的措施，詳如表1。

7將威脅映像到活動(dòng)主題

殭尸物聯(lián)網(wǎng)是利用被駭?shù)腎oT裝置建構(gòu)而成，它和傳統(tǒng)殭尸網(wǎng)絡(luò)不同的地方在于修復(fù)能力。物聯(lián)網(wǎng)裝置典型上都屬于非管理型的裝置。一個(gè)遭入侵的IoT裝置被其所有者發(fā)現(xiàn)并予以修復(fù)的機(jī)會(huì)相當(dāng)?shù)停@正是為什么過(guò)了二年還會(huì)看到相同的攻擊裝置。惡名昭彰的Mirai也因?yàn)槿绱耍坏珱](méi)有被毀滅，反而繼續(xù)成長(zhǎng)。殭尸物聯(lián)網(wǎng)可以發(fā)動(dòng)一如傳統(tǒng)殭尸網(wǎng)絡(luò)所能的任何攻擊，而且因?yàn)樗鼈兊囊?guī)模而更具危害性。這些陳述和殭尸物聯(lián)網(wǎng)數(shù)據(jù)，可使用于任何討論殭尸網(wǎng)絡(luò)流量與攻擊的主題活動(dòng)。

表1 IoT安全性須由所有人共同維護(hù)