2018物联网安全年报

本报告由绿盟科技&上海交通大学信息内容分析技术国家工程实验室&广州大学网络空间先进技术研究院联合出品。

随着物联网的不断发展，物联网安全也被越来越多的人所关注。我们于2016年发布《物联网安全白皮书》，进行物联网安全的科普介绍；并于2017年发布《2017物联网安全年报》，关注物联网资产在互联网上的暴露情况、设备脆弱性以及威胁风险分析。在2018年，我们持续深入研究物联网资产和威胁：在资产方面，我们关注如何更精准地刻画暴露在互联网上的物联网资产分布情况；在威胁分析方面，我们将重点类别的物联网资产关联从互联网上发现的异常事件，跟踪相关的物联网威胁，包括各类恶意攻击和恶意家族等。

观点1： 回顾2018年的重大物联网安全事件，攻击者恶意行为涉及感染物联网设备、买卖攻击服务、肆意发动破坏攻击，这些行为表明针对物联网或由物联网发动的攻击对各国的关键信息基础设施安全构成了严重的威胁，物联网安全形势依然严峻。

● 暗网出现利用物联网设备的DDoSaaS

● Hide’n Seek僵尸网络感染了9万台物联网设备

● IoTroop针对金融机构的多起DDoS攻击活动

● VPNFilter感染约50万台物联网设备，或与国家行为有关

● 台积电生产线被勒索，停产损失超10亿

● UPnProxy脆弱性使4.5万个内网敞开，威胁众多企业和家庭

● 20万台路由器被黑导致内网设备恶意挖矿

观点2： 互联网上暴露的物联网资产，只有30%的资产使用互联网常用的服务（HTTP、FTP等），而多达70%的资产使用物联网相关的服务（UPnP、RTSP等）。所以想要更准确地掌握物联网资产暴露情况，就需要提高对物联网设备协议的关注度。 

图1  物联网联资产的协议占比情况

观点3： 国内至少有40%暴露的物联网资产的网络地址处于频繁变化的状态，大部分变化的资产采用拨号的方式入网。另外，IPv6普及后，资产变化的现象会大大减少，但物联网资产的暴露数量可能也会剧增。 

图 2  554端口摄像头资产变化情况（国内，扫描时长3天）

 图3  80端口的路由器资产变化情况（国内，扫描时长3天）

观点4： 利用DDoS攻击、僵尸网络通信和扫描探测行为的异常物联网设备占所有异常物联网设备的79.36%。 

图4  物联网设备异常行为

观点5：恶意挖矿脚本Coinhive在2018年10月控制的物联网设备仍有2.6万台，绝大部分仍是MikroTik的路由器，巴西为重灾区，物联网设备难升级修复是物联网安全的巨大挑战。 

图5  受Coinhive控制的MikroTik路由器的国家分布（2018年10月）

观点6：物联网设备普及程度与当地的经济紧密关联，但物联网设备的威胁也随之跟随，经济和新型产业发展的同时需要重视物联网安全。 

图6  物联网设备省份的分布情况 图7  异常物联网设备省份统计

观点7： 全球有约280万台物联网设备开放了UPnP SSDP服务（1900端口），存在被利用进行DDoS攻击的风险，其中有38.6%的设备同时开放了UPnP SOAP服务。在这些开放SOAP服务的设备中，69.8%的设备存在漏洞，值得引起重视。 

图8  SOAP服务端口分布情况

图9中，红色部分是确定存在漏洞的UPnP SDK版本，虽然Broadcom UPnP并没有版本信息，但是已经有研究人员发现对于其漏洞的利用，因此我们也认为其存在漏洞

图9  暴露SOAP服务的设备所采用的SDK分布

观点8： 从开放端口映射的设备及受感染的设备的国家分布来看，无论是开放端口映射的设备数还是存在恶意端口映射的设备数，韩国均居首位。 

图10  开放端口映射的设备及受感染的设备的国家分布情况

观点9： 我们发现两类恶意端口映射家族，一类试图将所有的内网端口都暴露在互联网上，我们将其称之为IntraScan，全球有约9千台设备受到感染。另一类我们将其称之为NodeDoS，全球有约600台设备受到感染。NodeDoS主要存在两种恶意行为，一是映射到8.8.8.8的53端口，推测其将设备作为DNS反射攻击的肉鸡集群，二是映射到某色情广告平台，进行分布式广告点击从中获利，由于其端口映射表的描述字段为node:nat:upnp

纵观2018年，物联网安全事件频发，原因有三：

第一，物联网设备本身风险高、易被利用，同时大量暴露在互联网上；

第二，DDoS服务、勒索和恶意挖矿易变现且其低风险受到攻击者青睐，攻击者可利用开源的武器库快速组装恶意软件，进而扫描、渗透并控制物联网设备；

第三，物联网的供应链长、碎片化严重，物联网厂商不具备所需的安全能力，安全厂商无法参与整个物联网产品的设计、实现、生产和升级环节。

此外物联网安全相关的标准、法律法规尚未完善，监管机构缺乏有效的落地方针。因而，我们建议安全厂商、物联网厂商、物联网服务商、网络运营商及国家相关部门需要通力协作，从横贯云管端安全的顶层设计，到具体产品的安全设计实现测评，从威胁预警和安全治理结合的监管体系，到产业合作创建多赢的商业模式，携手共建物联网安全生态环境。

预测

在未来几年中，随着国家大力推动IPv6战略，暴露在互联上的物联网资产数量可能会剧增，随之而来的安全问题也会增多。并且物联网安全事件不会减少，甚至会因被黑产利用而增多。

由于互联网上暴露的物联网设备数量庞大，且相关漏洞层出不穷，物联网恶意家族如Gafgyt、Mirai等较为活跃，且僵尸网络呈现出服务化、集中化，基本形成托管服务（DDoSaaS、Ransomware-aaS、Cryptojacking-aaS），攻击者只需在暗网购买服务即可完成攻击，无需花费构建的时间等，致使威胁进一步增大。相信由此类服务发动的攻击会频繁见诸报端。

由于很多网关类设备都开启了UPnP服务，而这些设备大多是遗留设备，短期内很难通过固件升级或替换来解决相关安全问题，随着攻击者对于UPnP的认知逐渐加深，UPnP带来的威胁将更加严重，特别是针对家庭和企业的内部网络的攻击。

请点击以下链接或“阅读原文”下载《2018物联网安全年报》全文。

链接：

https://pan.baidu.com/s/1W3MwDbonZxkcXEFEuQ2OIQ 

提取码：2k3s