https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

新聞

趨勢: 2020 上半年針對裝置與路由器的對內攻擊較 2019 下半年成長了 70%

2020 / 11 / 25
編輯部
趨勢:  2020 上半年針對裝置與路由器的對內攻擊較 2019 下半年成長了 70%
趨勢科技在 2020 上半年資安總評報告中指出,2020 上半年,針對裝置與路由器的對內攻擊較 2019 下半年成長了 70%。這項資料也包含針對物聯網(IoT ,Internet of Thing)裝置的攻擊,這類攻擊目前已普遍到相當令人憂心。
 
數以千計的活躍中 C&C 伺服器顯示IoT 攻擊相當普遍
表 1 顯示趨勢在前述期間所發現的 C&C 伺服器,蒐集到 7,030 個 Mirai 的 C&C 伺服器位址以及 5,010 個 Bashlite 的位址。絕大多數伺服器目前都應該已經「死了」或者不在活躍狀態。換句話說,在發現的時候,它們已經不接受任何連線了。不過,剩下的伺服器 (Mirai 有 2,951 個,Bashlite 有 1,746 個) 仍在運作或活躍當中。趨勢也觀察到,至少有 2,107 個 Mirai 伺服器與 1,715 個 Bashlite 伺服器曾經發送分散式阻斷服務 (DDoS) 攻擊指令給被感染的用戶端。圖 1 顯示有多少 C&C 伺服器在被發現當時還接受連線。

很顯然,活躍中的 C&C 伺服器數量仍然相當高,儘管這些惡意程式從首度現身至今已經歷時多年 (Mirai 大約在 2016 年現身,Bashlite 大約在 2014 年)。此外趨勢也發現了這兩個惡意程式家族之間有 573 個相同的 C&C 伺服器  IP 位址,所以有可能是某些網路犯罪集團同時運用了 Mirai 和 Bashlite 作為犯罪工具。也有可能是同一個 IP 位址被另一個犯罪集團重複使用。


趨勢也利用 WHOIS 來查詢 C&C 伺服器的 IP 位址是屬於哪些機構所有。絕大部分的 C&C 伺服器都是架設在主機代管服務上。事實上,有些還是所謂的防彈主機,讓網路犯罪集團能在不暴露自己身分的情況下經營 C&C 伺服器。正如趨勢一份針對地下主機代管服務的研究指出,網路上有很多文件在介紹如何在防彈主機服務上架設並經營 C&C 伺服器。趨勢在另一份研究也提到,地下市場上能夠公開買到 IoT 惡意程式的原始程式碼。正因為網路上的資訊是如此公開,所以網路犯罪集團很容易自行打造所需的駭客工具。
 

聚焦 Mirai
Mirai 的攻擊手法: 有大量的攻擊都是利用一些密碼清單來暴力登入使用預設密碼或密碼強度不足的裝置。

Mirai 家族可攻擊的處理器平台很多,包括 ARM、 x86、MIPS、SH4 等等。這次我們分析了前述時期所蒐集到的 Mirai 樣本,研究了它們使用的攻擊手法。表 2 顯示它最常運用的五種攻擊手法。

趨勢科技發現,一些相對較舊的漏洞,例如:CVE-2017-17215、CVE-2014-8361、CVE-2018-10561 這三個漏洞仍被廣泛使用。而且,有大量的攻擊都是利用一些密碼清單來暴力登入使用預設密碼或密碼強度不足的裝置。

運用 IOC 資料來提升防護
為了防範網路威脅,趨勢運用各種威脅監控系統所蒐集到的資料 (包括本文所提到的監控資料) 來產生入侵指標 (IOC),再利用 IOC 來提升趨勢產品的威脅偵測能力。趨勢蒐集了 IoT 惡意程式下載網址,將他們加入趨勢的網站信譽評等資料庫,並加以適當標示。如此一來,就能防止客戶的裝置連上這些惡意網址。我們的 Home Network Security 產品也可攔截裝置與 C&C 伺服器的連線。還不只如此,一旦我們在監控過程當中發現一個新的樣本,趨勢就會主動製作一個病毒碼來讓我們的產品能夠偵測這個樣本。

防範 IoT 系統遭到攻擊
大多數的 IoT 惡意程式都是利用 IoT 裝置的漏洞或是強度不足的登入憑證來感染裝置。要防止裝置遭到 IoT 惡意程式入侵,使用者最好養成以下良好資安習慣:
  • 切勿使用預設的使用者名稱和密碼,請使用無法輕易猜到的高強度密碼。這樣裝置就不太容易被駭客利用密碼清單暴力登入。
  • 定期安裝廠商提供的軟體更新來修補可能讓裝置遭到感染的漏洞。
  • 除非必要,否則裝置不要連上網際網路,並且將裝置安裝在內部網路,再透過閘道路由器來防止駭客存取。 

本文節錄自趨勢資安部落格。