物联网威胁情报研究
由于网络攻防不对等,网络攻击者越来越聪明,攻击能力也与日俱增,通过威胁情报可以缩小这个差距。随着物联网面临的威胁日益严峻,有必要对物联网威胁情报机制进行研究,分析威胁情报在物联网中的应用模式。
一、物联网威胁情报分析
我们将物联网威胁情报分为四层,分别是资产情报、脆弱性情报、威胁情报和业务情报,其数量依次越来越少,但是价值越来越高。
图1 物联网威胁情报框架
资产情报:大量互联网上暴露的物联网资产(即物联网设备与服务)成为攻击者发动大规模DDoS攻击的首选,对于物联网资产的识别,构成了物联网资产情报。只有分析清楚了哪些物联网资产暴露在互联网上,才能够更好地提供防护措施。这部分的研究成果我们发布在了绿盟科技《2017物联网安全年报》上。
脆弱性情报:脆弱性情报主要针对的是各类物联网设备的漏洞,如弱口令、信息泄露、未授权访问等。当知晓物联网设备的厂商、产品、型号、版本等信息时,可以关联脆弱性情报,及时发现其潜在的问题。
威胁情报:这部分主要来自于物联网蜜网系统和物联网僵尸网络监控系统,通过这两个系统的构建可以及时发现当前网络中的攻击活动及攻击趋势、捕获新的恶意样本等。
业务情报:这部分针对的是物联网特定应用场景的情报,也是客户最为关注的,这部分情报的应用将可以有效减少客户的损失。以物联卡为例,存在恶意行为的物联卡可以构成物联卡威胁情报,这些卡有可能被用于“薅羊毛”,比如电商网站在推广阶段,邀请用户注册可以得到一定的收益,这些卡可能被用于批量注册账号,使得电商网站看似新注册用户很多,但是并未得到有效的用户。而通过使用物联卡威胁情报,就可以及时发现恶意的用户注册行为。
其他行业/垂直领域情报:借助其他行业/垂直领域的情报也可以发现物联网设备存在的威胁。比如通过将物联网设备对外访问的域名、IP与区块链情报(矿池域名、IP)相关联,可以发现物联网设备的挖矿行为。
二、物联网威胁情报的应用
下面我们将借助威胁情报,分别对某省的物联网资产和UPnP协议的暴露情况进行分析。
1某省物联网资产暴露情况分析
借助资产情报,我们可以看到某省的物联网资产暴露情况(图2),更进一步,我们还可以分别对不同类型的设备的地理分布、厂商分布、端口分布等进行分析。由于这些信息比较敏感,所以不在这里进行展示,如果你对这方面感兴趣的话,可以给我们留言。
图2 某省物联网资产暴露情况
借助威胁情报(TI)中的IP信誉,我们可以看到视频监控设备异常行为类型的分布情况(图3)。运营商可以借助这样的分析,重点关注存在风险的IP的流量,由于关注范围缩小,可以更容易地发现潜在的风险并做出应对处理。
图3 视频监控设备异常行为类型的分布情况
2UPnP协议暴露情况分析
UPnP是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,从而使网络(尤其是家庭网络)对更多的人成为可能。
简单来说,以家庭环境为例,若我们要使用一台新买的网络打印机,我们无需对打印机进行繁琐的配置只需将打印机插上网线即可,基于UPnP技术,从打印机使用DHCP获取IP,到电脑自动发现打印机,搜索其相关服务,最后调用相关服务供我们打印文档,每一步都是UPnP中的一个组成部分。因此,很多路由器都开放了UPnP服务。
但是,本来仅用于局域网的UPnP服务,却有很多暴露在了互联网上。我们按照UPnP服务的SDK类型和版本号进行了统计,如表1所示。从中可以看到,Portable SDK for UPnP devices、IGD、MiniUPnPd这三类SDK出现最多。
以Portable SDK for UPnP devices为例,在其版本更新日志中可以看到,当前的最新版为1.6.23,在表1中出现数量最多的版本1.6.6是2008年推出的,即便是1.6.19,也是在2013年就已经推出。这也从侧面说明,当前大多暴露在互联网中的设备所采用的UPnP服务的SDK版本比较老,而且并未采用自动升级机制。
表1 UPnP服务SDK类型和版本号分布情况
UPnP服务SDK类型 | 版本号 | 数量 |
|---|---|---|
Portable SDK for UPnP devices | 1.6.6 | 718809 |
Portable SDK for UPnP devices | 1.6.18 | 271652 |
IGD | 1 | 270137 |
MiniUPnPd | 1 | 241132 |
Proc | - | 201310 |
MiniUPnPd | 1.2 | 114653 |
Portable SDK for UPnP devices | 1.3.1 | 106107 |
Net-OS | 5 | 83323 |
Portable SDK for UPnP devices | 1.6.19 | 83283 |
Realtek | 1.3 | 73420 |
通过与脆弱性情报相关联,甚至不需要进行漏洞的验证,就可以说明漏洞在全球的影响情况。例如Portable SDK for UPnP devices在2012年的这几个漏洞,CVE-2012-5958、CVE-2012-5959、CVE-2012-5960、CVE-2012-5961、CVE-2012-5962、CVE-2012-5963、CVE-2012-5964、CVE-2012-5965,漏洞影响1.6.18之前的版本。只需要通过关联资产情报和脆弱性情报,即可说明漏洞的影响范围。
三、小结
本文对物联网威胁情报进行了分析,之后,以某省的物联网资产和UPnP协议的暴露情况为例,分析了如何使用物联网威胁情报。
内容编辑:创新中心 刘文懋 张星 责任编辑:肖晴