专栏首页绿盟科技研究通讯物联网威胁情报研究

物联网威胁情报研究

由于网络攻防不对等,网络攻击者越来越聪明,攻击能力也与日俱增,通过威胁情报可以缩小这个差距。随着物联网面临的威胁日益严峻,有必要对物联网威胁情报机制进行研究,分析威胁情报在物联网中的应用模式。

一、物联网威胁情报分析

我们将物联网威胁情报分为四层,分别是资产情报、脆弱性情报、威胁情报和业务情报,其数量依次越来越少,但是价值越来越高。

图1 物联网威胁情报框架

资产情报:大量互联网上暴露的物联网资产(即物联网设备与服务)成为攻击者发动大规模DDoS攻击的首选,对于物联网资产的识别,构成了物联网资产情报。只有分析清楚了哪些物联网资产暴露在互联网上,才能够更好地提供防护措施。这部分的研究成果我们发布在了绿盟科技《2017物联网安全年报》上。

脆弱性情报:脆弱性情报主要针对的是各类物联网设备的漏洞,如弱口令、信息泄露、未授权访问等。当知晓物联网设备的厂商、产品、型号、版本等信息时,可以关联脆弱性情报,及时发现其潜在的问题。

威胁情报:这部分主要来自于物联网蜜网系统和物联网僵尸网络监控系统,通过这两个系统的构建可以及时发现当前网络中的攻击活动及攻击趋势、捕获新的恶意样本等。

业务情报:这部分针对的是物联网特定应用场景的情报,也是客户最为关注的,这部分情报的应用将可以有效减少客户的损失。以物联卡为例,存在恶意行为的物联卡可以构成物联卡威胁情报,这些卡有可能被用于“薅羊毛”,比如电商网站在推广阶段,邀请用户注册可以得到一定的收益,这些卡可能被用于批量注册账号,使得电商网站看似新注册用户很多,但是并未得到有效的用户。而通过使用物联卡威胁情报,就可以及时发现恶意的用户注册行为。

其他行业/垂直领域情报:借助其他行业/垂直领域的情报也可以发现物联网设备存在的威胁。比如通过将物联网设备对外访问的域名、IP与区块链情报(矿池域名、IP)相关联,可以发现物联网设备的挖矿行为。

二、物联网威胁情报的应用

下面我们将借助威胁情报,分别对某省的物联网资产和UPnP协议的暴露情况进行分析。

1某省物联网资产暴露情况分析

借助资产情报,我们可以看到某省的物联网资产暴露情况(图2),更进一步,我们还可以分别对不同类型的设备的地理分布、厂商分布、端口分布等进行分析。由于这些信息比较敏感,所以不在这里进行展示,如果你对这方面感兴趣的话,可以给我们留言。

图2 某省物联网资产暴露情况

借助威胁情报(TI)中的IP信誉,我们可以看到视频监控设备异常行为类型的分布情况(图3)。运营商可以借助这样的分析,重点关注存在风险的IP的流量,由于关注范围缩小,可以更容易地发现潜在的风险并做出应对处理。

图3 视频监控设备异常行为类型的分布情况

2UPnP协议暴露情况分析

UPnP是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,从而使网络(尤其是家庭网络)对更多的人成为可能。

简单来说,以家庭环境为例,若我们要使用一台新买的网络打印机,我们无需对打印机进行繁琐的配置只需将打印机插上网线即可,基于UPnP技术,从打印机使用DHCP获取IP,到电脑自动发现打印机,搜索其相关服务,最后调用相关服务供我们打印文档,每一步都是UPnP中的一个组成部分。因此,很多路由器都开放了UPnP服务。

但是,本来仅用于局域网的UPnP服务,却有很多暴露在了互联网上。我们按照UPnP服务的SDK类型和版本号进行了统计,如表1所示。从中可以看到,Portable SDK for UPnP devices、IGD、MiniUPnPd这三类SDK出现最多。

以Portable SDK for UPnP devices为例,在其版本更新日志中可以看到,当前的最新版为1.6.23,在表1中出现数量最多的版本1.6.6是2008年推出的,即便是1.6.19,也是在2013年就已经推出。这也从侧面说明,当前大多暴露在互联网中的设备所采用的UPnP服务的SDK版本比较老,而且并未采用自动升级机制。

表1 UPnP服务SDK类型和版本号分布情况

UPnP服务SDK类型

版本号

数量

Portable SDK for UPnP devices

1.6.6

718809

Portable SDK for UPnP devices

1.6.18

271652

IGD

1

270137

MiniUPnPd

1

241132

Proc

-

201310

MiniUPnPd

1.2

114653

Portable SDK for UPnP devices

1.3.1

106107

Net-OS

5

83323

Portable SDK for UPnP devices

1.6.19

83283

Realtek

1.3

73420

通过与脆弱性情报相关联,甚至不需要进行漏洞的验证,就可以说明漏洞在全球的影响情况。例如Portable SDK for UPnP devices在2012年的这几个漏洞,CVE-2012-5958、CVE-2012-5959、CVE-2012-5960、CVE-2012-5961、CVE-2012-5962、CVE-2012-5963、CVE-2012-5964、CVE-2012-5965,漏洞影响1.6.18之前的版本。只需要通过关联资产情报和脆弱性情报,即可说明漏洞的影响范围。

三、小结

本文对物联网威胁情报进行了分析,之后,以某省的物联网资产和UPnP协议的暴露情况为例,分析了如何使用物联网威胁情报。

内容编辑:创新中心 刘文懋 张星 责任编辑:肖晴

本文分享自微信公众号 - 绿盟科技研究通讯(nsfocus_research),作者:物联网安全

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【报告系列解读四】绿盟科技发现两类恶意端口映射家族

    2019年3月,绿盟科技、上海交通大学信息内容分析技术国家工程实验室和广州大学网络空间先进技术研究院联合发布《2018物联网安全年报》。对于报告的四个章节我们分...

    绿盟科技研究通讯
  • SOAR:软件定义安全之编排篇

    自动化编排已经成为行业内讨论很多的话题,但自动化编排的场景、如何实现自动化编排,还在探索中。本文从软件定义安全的角度,讨论了安全编排的必要性、关键支撑技术、实现...

    绿盟科技研究通讯
  • 绿盟安全风险评估算法体系

    无危则安,无损则全。安全意识就在中国古代人文精神中得到了充分体现。在《申鉴》曾有记载:进忠有三术:一曰防,二曰救,三曰戒,先其未然谓之防,发而止之谓之救,行而则...

    绿盟科技研究通讯
  • 捍卫家园,机甲勇士大战变形金刚 - 腾讯ISUX

    腾讯ISUX
  • 【程序源代码】Springboot + shiro权限管理

    今天给大家讲一讲:SpringBoot快速开发框架,内容相对比较简单。开发时使用的idea工具,大家按照如下步骤进行操作就可以了。Springboot + sh...

    程序源代码
  • 开发 | 谷歌新版语音交互套件 Voice Kit 开放预订,开发者都能用它做什么?

    利用深度学习做语音交互的开发者,很可能对两个谷歌的产品特别关心: 五月初,谷歌 AIY 项目(“Artificial Intelligence Yourself...

    AI科技评论
  • Selenium2+python自动化75-Chrome配置加载

    一、加载Chrome配置 chrome加载配置方法,只需改下面一个地方,username改成你电脑的名字(别用中文!!!) '--user-data-dir=...

    上海-悠悠
  • 左手用R右手Python系列——使用多进程进行任务处理

    数据抓取中的密集任务处理,往往会涉及到性能瓶颈,这时候如果能有多进程的工具来进行支持,那么往往效率会提升很多。 今天这一篇分享在R语言、Python中使用调用多...

    数据小磨坊
  • c++中vector向量几种情况的总结(1)

    vector 是同一种类型的对象的集合,每个对象都有一个对应的整数索引值。标准库将负责管理与存储元素相关的内存。我们把 vector 称为容器,是因为它可以包含...

    随心助手
  • ElasticSearch2.3/2.4升级到ElasticSearch5.0

    注意最好用elasticsaerch-migration跑一下注意事项,我这里是抱着丢数据index的目的来升级的。

    三杯水Plus

扫码关注云+社区

领取腾讯云代金券