物联网安全年报小结

小结

不仅仅是 LockerGoga，其他勒索软件也对工业系统造成了重大损失，如全球第二大听力集团 Demant 被勒索造成损失达 9500 万美元 [21]；世界上最大的飞机零部件供给商之一 ASCO，因其位于比利时扎芬特姆的工厂系统遭勒索病毒传染，导致该公司在德国、加拿大
和美国的工场被迫停产 [22]， 2018 年台积电遭遇勒索软件袭击，导致损失超 17 亿元人民币 [23]。勒索软件攻击计算机
系统后，一般会加密重要用户文件，系统功能不受影响，以方便获利，但是 LockerGoga 会导致系统也无法启动，即便是支付了赎金，恢复成本也将变大。在 2018 年的物联网安全年报中，我们也将台湾省台积电工厂被勒索列入了年度安全事件，可见勒索软件攻击工厂层出不穷，破坏巨大。这从一个侧面反映出传统的工控系统已经越来越多地接入互联网， OT系统与 IT系统的融合使得工业控制系统
不再是物理隔离的；此外，随着工业互联网的兴起，工业设备与互联网业务打通已是必然趋势。无论是前述国家对抗，还是本事件显示的无差异广谱攻击，IT系统的安全事件已经严重影响了工业系统的控制安全，很有可能造成生产安全事故。面对勒索软件的威胁，工业厂商一定要做好关键文件的备份，关键计算机系统要做好每日更新的离线备份，以确保勒索软件攻击后，能很快恢复生产运营。工程师站等终端应部署杀毒软件，并及时更新病毒库。除此之外，对员工的安全培训也必不可缺，员工应有不从不可信的网站下载应用程序等不明资源的意识。

服务首次被发现用于反射攻击

事件回顾

2019 年 2 月，百度的安全研究人员 [24] 发布了一篇关于 WS-Discovery 反射攻击 1 的文章，在该次攻击事件中，涉及反射源 1665 个。这是我们发现的关于 WS-Discovery 反射攻击的最早的新闻报道。 ZDNet[25] 提到，今年 5 月也出现过利用 WS-Discovery 的反射攻击，到今年 8 月的时候，有多个组织开始采用这种攻击方式。Akamai[26]提到有游戏行业的客户受到峰值为 35 Gbps 的 WS-Discovery 反射攻击。
1　原文中的表述是 ONVIF反射攻击，但我们经过分析后发现除 ONVIF设备外，打印机等也有可能参与其中。ONVIF在设备发现阶段
是基于 WS-Discovery 协议进行通信的。从反射攻击的角度来看，攻击者并非只针对 ONVIF设备。虽然百度并没有明确提出 WS- Discovery 反射攻击，但我们认为这是对于 WS-Discovery 反射攻击的首次报道。

原理简述

WS-Discovery（Web Services Dynamic Discovery）是一种局域网内的服务发现多播协议，但是因为设备厂商的设计不当，当一个正常的 IP 地址发送服务发现报文时，设备也会对其进行回应，加之设备暴露在互联网上，则可被攻击者用于 DDoS 反射攻击。
WS-Discovery 协议所对应的端口号是 3702。当前，频监控设备的 ONVIF规范 [27] 里面提到使用 WS-Discovery 作为服务发现协议，一些打印机 [28] 也开放了 WS-Discovery 服务。

小结

反射攻击存在已久，随着防护能力的增强，攻击者的攻击手段也在发生变化，并将注意力放在了一些新的协议上。WS-Discovery 反射攻击作为一种新的反射攻击类型，面向物联网设备，在今年之前的反射攻击介绍类文章中并未有对其的任何介绍，潜力巨大，需要引起人们的关注。在第四章，我们将会对其进行更进一步的分析。

黑客使用弱口令接管了个僵尸网络

事件回顾

根据 ZDNet 报道 [29]，一位名为 Subby 的黑客通过暴力攻击接管了 29 个用于 DDoS 攻击的 IoT 僵尸网络。Subby 使用了用户名字典和常用密码列表来对这 29 个僵尸网络的主控服务器（C&C，Command and Control）进行暴力攻击，其中一些设施使用了强度较弱的凭据，例如 root:root、admin:admin、 oof:oof 等。根据 Subby 的说法，这些僵尸网络都比较小，实际的僵尸主机（Bot）总数仅为 2.5 万，破解的僵尸网络相关信息如表 1.1 。
表 1.1 被暴力破解的 C&C的相关信息

原理简述

之所以那么多恶意 C&C主机使用默认口令，因为大部分僵尸网络的制作者很多是参考某些社区的制作教程，几乎都不更改教程中的登录凭证，就算更改了，也是安全等级较弱的口令组合，因此很容易受到暴力破解。开普勒物联网僵尸网络的作者也承认自己是按照教程制作、部署僵尸网络，而且只是使用 Exploit-DB中的一些漏洞利用。可见，参考现有教程来制作僵尸网络，目前还是很普遍的现象 [30]。

小结

如今，制作一个物联网僵尸网络程序门槛很低，一个“脚本小子”只需要在相关的技术网站上找到一些程序或者代码，做一些简单的修改配置就可以完成，本事件中的攻击者轻易控制这么多物联网僵尸主机。很多物联网僵尸网络都以类似的方式构建，所以物联网安全形势还是十分严峻的。
此外，也正因为许多攻击者也不是专业的技术人员，所以经常使用默认口令，甚至直接使用示例中 C&C服务器的地址，本事件提供了一种以毒攻毒的治理思路，可以找到攻击者的弱点加以利用，进而达到对恶意僵尸网络治理的目的。

日本通过法律修正案允许政府入侵物联网设备

事件回顾

2019 年 1 月 25 日，日本通过了一项法律修正案 [31]，允许政府工作人员入侵物联网设备。修正案的内容包括两点，一是允许日本国家信息和通信技术研究所（NICT）通过弱口令对物联网设备进行扫描从而发现脆弱的设备，二是 NICT可以将这些信息作为威胁情报共享给电信运营商。与之相对应，日本从 2019 年 2 月 20 日起启动 NOTICE项目 [32]，开始对互联网上的物联网设备进行调查，识别易受攻击的设备，并将这些设备的信息提供给电信运营商。然后，电信运营商定位设备对应的用户，并警告用户该问题。日本所采取的这些行为也是在为 2020 年即将在日本举办的夏季奥运会和残奥会的安保工作做准备，尽量避免发生类似 2018 年平昌冬奥会期间的 Olympic Destroyer 事件 [33]。

小结

虽然日本的这项做法可能会破坏设备完整性，或会引起部分民众的不满，但是从根本上解决物联网安全问题就必须要减少甚至消除暴露在互联网上的脆弱物联网设备。
从前面的物联网僵尸网络和攻击事件可见，物联网上暴露了大量脆弱的物联网设备，这些设备在较长时间内不会消失，从而成为攻击者喜欢利用的僵尸主机。虽然 1.7 中黑客可以“以毒攻毒”，但毕竟是不合法合规的做法。物联网安全治理的根本做法是找到暴露在互联网上脆弱的设备和用户，安全升级或更换设备。当然这种做法的前提是评估该设备是脆弱的，但技术上很可能用一些侵入式的手段，对设备完整性有所破坏，通常也是不合法的。所以此次日本从法律上保障政府工作人员（安全研究人员）对
本国物联网设备进行脆弱性评估，无疑扫清了安全治理过程中的法律风险。而且日本政府也在其网站 [32] 上明确说明，调查旨在检查是否容易猜出每个物联网设备中的密码设置，不会侵入设备或获取调查所需的信息外的信息。对于调查获得的信息，将根据内政和通信部长批准的 NICT实施计划采取严格的安全控制措施。另外，日本政府部门、电信运营商和用户的联动也同样值得借鉴，这提供了一种很好的对于存在风险的暴露在互联网上的物联网设备的治理思路。

总结

本章回顾了 2019 年的 8 个物联网安全事件。其中，委内瑞拉的停电事件、物联网僵尸网络和勒索软件大规模攻击事件、波音客机系统被挖掘出严重漏洞，这几个事件均表明当前物联网安全形势依然严峻，和 2018 年的结论相似。其他事件，如 D-Link终端更新问题说明大量物联网终端已经得不到官方的安全更新，如果不经过有效治理，安全风险将长期存在；黑客能接管数十个僵尸网络也说明可以以攻代守，通过攻击僵尸网络的方式，进而治理僵尸网络；众多的安全事件的源头和目标均指向了脆弱的物联网终端，出于安全治理的目的，美国和日本在 2019 年颁布了法令和政策以治理物联网终端。
总之，物联网终端安全形势依旧严峻，物联网安全防护任重道远，国家、企业、公民均需要不断努力，以改善物联网安全形势。国家层面，政府、立法机构等相关部门需要逐步完善物联网安全方面的法规、政策，以推动物联网生态的安全建设；企业应不断加强人员安全培训，规范设备的安全管理，增加必要的安全投入以降低 DDoS、勒索软件带来的损失；公民需要加强安全意识，购买物联网产品时需要考虑设备的安全性可能给自己带来的损失，及时更换登录凭证，定期更新软件和系统。

物联网资产暴露情况分析

引言

如我们 2018 年《物联网安全年报》中所述，互联网上暴露的资产网络地址是不断变化的，使用历史数据来描绘暴露资产情况，会导致统计结果要高于实际暴露数量，所以某个地区实际的暴露数量，应在较短的时间测绘一个周期后，统计物联网资产数量更为准确。本章节首先将描述 2019 年物联网资产实际暴露情况。
随着物联网应用的蓬勃发展、IPv4 地址的耗尽，IPv6 普及已成必然趋势，IPv6 网络上暴露的物联网资产将成为攻击者的重点目标，能够对 IPv6资产和服务准确的测绘，对于网络安全具有着重要的意义。所以本章节还会介绍 IPv6 的物联网资产发现方法以及暴露情况。

国内物联网资产实际暴露情况

观察 1： 2019 年国内物联网资产实际的暴露数量共有 116 万，其中暴露设备类型最多的是摄像头，暴露数量最多的地区是台湾省。
在 2019 年 11 月，我们对国内物联网资产常用端口：554（RTSP），5060（SIP），80（HTTP），81（HTTP）， 443（HTTPS），21（FTP），22（SSH），23（Telnet）等进行测绘，共发现 116 万暴露的物联网资产，其中最多的是摄像头，暴露数量约 56 万，此外，国内路由器的暴露数量约为 28 万，VoIP电话约为 26 万，打印机约为 2 万，如图 2.1 所示。
暴露数量（个）
摄像头路由器 VoIP电话打印机
设备类型
图 2.1 2019 年国内 IPv4 物联网资产实际暴露情况
暴露的物联网资产所在地区情况如图 2.2 所示，其中，台湾省暴露的资产最多，共有约 34 万，占国内总量的 30% 左右，大约是第 2 名河南省暴露数量的 4 倍。产生这个现象的主要原因是台湾省分配到的 IPv4 地址数量较为充足，所以大量资产不需要做地址翻译连接互联网，故而暴露出来；而中国大陆地区的 IPv4 地址数量是不够的，所以暴露的地址数量相对较少。我们猜想等 IPv6 广泛使用后，国内会有更多的物联网资产暴露出来，面临风险也会随之而来，所以关注 IPv6 的物联网资产暴露情况是十分有必要的。在 2.3 节中，我们介绍 IPv6 的物联网资产的暴露初步情况以及 IPv6 资产测绘发现的思路。
暴露数量（台）
台湾河南山东江苏江西香港上海安徽北京广东福建浙江地区分布
图 2.2 2019 年国内 IPv4 资产地区分布情况

亚太部分地区物联网资产实际暴露情况

观察 2：日本物联网资产暴露情况相较于去年总量变化不大，新加坡的物联网资产暴露数量相比于去年增加了约 40%，这个增长可能与近些年新加坡大力发展物联网应用有关。
在 2019 年 11 月，我们使用与 2.2 节中同样的测绘方法对新加坡和日本的物联网资产实际暴露情况进行统计，具体的数据如图 2.3 图 2.4 所示。日本暴露物联网资产总量约 47 万，最多物联网资产是路由器（333,573 个），其次是打印机（70,785 个），最后是摄像头（64,794 个）和 VoIP电话（105 个）。新加坡暴露物联网资产总量约 28 万，最多物联网资产也是路由器（232,506 个），其次是摄像头（46,575 个），最后是摄像头（2,139 个）和 VoIP电话（47 个）。
暴露数量（个）150,000
路由器打印机摄像头 VoIP电话
设备类型
图 2.3 2019 年日本物联网资产实际暴露情况
暴露数量（个）
路由器摄像头打印机 VoIP电话
设备类型
图 2.4 2019 年新加坡物联网资产暴露情况

物联网资产实际暴露情况研究

本小节主要介绍 IPv6 物联网资产的暴露情况和一些 IPv6 地址测绘方法。

地址简介

IPv6 发展
随着物联网、5G 的发展，网络应用对 IP 地址的需求呈现爆炸式增长，IPv4 地址空间早已分配枯竭，并且分配十分不均匀。IPv6 凭借充足的网络地址和广阔的创新空间，已经成为实现万物互联，促进生产生活数字化、网络化、智能化发展的关键要素。2019 年 4 月，工信部发布《关于开展 2019 年 IPv6 网络就绪专项行动的通知》，以全面提升 IPv6 用户渗透率和网络流量为出发点，就推动下一代互联网网络就绪提出主要目标、任务举措和保障措施，持续推进 IPv6 在网络各环节的部署和应用 [34]，IPv6 的时代已经到来。
IPv6 地址分类
IPv6 的地址长度为 128 位，是 IPv4 地址长度的 4 倍。于是 IPv4 点分十进制格式不再适用，采用十六进制表示。常用冒分十六进制法表示 IPv6 地址，格式为 X:X:X:X:X:X:X:X，其中每个 X表示地址中的 16b，以十六进制表示。在某些情况下，一个 IPv6 地址中间可能包含很长的一段 0，可以把连续的一段 0 压缩为“::”，为了保证地址解析的唯一性，地址中“::”只能出现一次。IPv6 在地址表示、地址配置等方面均有显著不同。根据不同的生成策略，常见的 IPv6 地址有以下几类 [35][36]：
\1. 低位地址
在某些情况下节点的地址需要手动配置，例如路由器和服务器的地址。网络管理员在地址范围内自由选择，出于配置简单和容易记忆的考虑，通常会选择一些低位地址，即地址除了最后几位，其它字节位都是 0。所以这部分 IPv6 地址的特征是前面的地址为一致，只有地址的最后几位是随机的，地址样例如图 2.5 所示。
图 2.5 低位地址随机的 IPv6 地址
部分位随机的地址
部分位随机的 IPv6 地址和低位地址类似，只不过并不是低位随机，而是地址中的特定的几位呈随机分布，地址样例如图 2.6 所示。
图 2.6 部分位随机的 IPv6 地址
内嵌 IPv4 地址
内嵌 IPv4 地址，就是 IPv6 地址中嵌入完整或者部分的 IPv4 地址。地址样例如图 2.7 所示。
图 2.7 嵌入 IPv4 地址的 IPv6 地址
4 内嵌 MAC地址
内嵌 MAC地址又称为 EUI-64地址，是通过接口的链路层地址（MAC地址）产生的，首先在 48 位的 MAC地址的中间位置（从高位开始的第 24 位后）插入十六进制数 FFFE，并且要 U/L （Universal/Local）位（从高位开始的第 7 位）设置为 1[^1]，最后得到的就是 64 位 EUI-64格式地址 [37]。这类地址的主要特征是地址中包含 FFFE 字符，地址样例如图 2.8 所示
图 2.8 MAC 地址嵌入的 IPv6 地址
MAC嵌入型地址具体的转换过程如图 2.9 所示：
图 2.9 EUI-64 地址 MAC嵌入过程此外，还有端口嵌入地址、临时地址、IPv6 过渡地址等，感兴趣的读者可以查阅相关资料，本节不
再赘述。
2.4.1.3 IPv6 物联网资产发现的挑战和思路
如前所述，研究适用于 IPv6 的物联网资产测绘技术对下一代网络安全和物联网资产管理具有重要
意义。
IPv6 的地址空间过大，IPv6 地址数量是 IPv4 的 296 倍，如果以测绘 IPv6 资产，从时间开销和资源消耗上都是不切实际的；此外，目前并且地址分布的随机性较大，难有针对性的测绘策略发现某网络中存活的测绘难度。所以面向 IPv4 的地址测绘方法不适用于 IPv6 网络。
国内外研究者也在此方向上做了很多尝试性的研究，公布了一些节中也提到的地址分配规律可以有效减少测绘空间，我们将在下节从公开另以该集合作为种子集合，利用多种启发式搜索算法发现周边存活的物联网资产
IPv4 资产发现的方式，在全网段 IPv6 地址使用的实际数量较少， IPv6 资产，这也无形增加了
IPv6地址的集合供后续研究，2.3.1.2 IPv6 集合寻找物联网资产，
观点 2：目前 IPv6 的资产测绘还是学术难题，国内外相关的研究页也属于起步阶段，但可启发式地通过 IPv6 地址和物联网服务的一些特性来发现 IPv6 物联网资产。从结果看，国内的 IPv6 物联网资产数量还是较少，应与我国的 IPv6 部署还属于初级阶段有关。
2.4.2 从已知 IPv6 地址集合中发现物联网资产
上文已经描述了盲扫 IPv6 地址的困难性，所以我们找到一些可用的 IPv6 地址集合，通过对这些地址的测绘以及识别来发现物联网资产。使用的地址集合包括：Hitlist[38] 维护的存活 IPv6 地址，数量约有 300 万；NTI（绿盟威胁情报中心）中域名情报映射的 IPv6 地址集，数量约 17 亿。需要说明的是，这些集合的量级相对于 IPv6 地址总量只是冰山一角，发现的存活物联网资产数量也并不多。
我们在 IPv6 地址集中针对物联网资产常用端口进行测绘，得到的物联网资产约有 8 万，类型分布情况如图 2.10 所示，最多的物联网资产是 VoIP电话，共有 70682 个，其次是摄像头，共有 13960 个，最后是路由器，共有 1549 个。4的 IPv6 地址格式中，第 7 位为 0 表示本地管理，为 1 表示全球管理为每个网卡生成一个 Link-Local的 IP 地址，简单点说
就是一个固定的前缀加上 MAC地址，由于 MAC地址全球唯一，所以这样构成的 IP 地址是唯一的，有了这个地址后，就可以局域网进行通信了，但是这种地址路由器是不会转发的。