NETSCOUT Arbor 中国和香港地区总经理 徐开勇

由于IoT设备安全依然处于发展初期，我们时常见到诸如命令注入之类的基础漏洞。2018年11月，我们的蜜罐发现几个存在已久的IoT漏洞被用于提供恶意软件。我们的数据显示，在不到一天的时间内，攻击者试图利用已知漏洞对一台新的IoT设备发起攻击，不到5分钟，攻击者开始尝试利用默认的IoT凭证暴力登录设备（了解蜜罐）。

借助ATLAS Intelligence Feed (AIF)服务，使用NETSCOUT APS/AED产品的客户可以收到有关蜜罐中发现的DDoS攻击目标的早期警告。

主要发现

除了暴力路由，IoT僵尸网络开发者越来越多地利用与IoT相关的漏洞作为攻击武器。某些情况下，攻击者会尝试利用已知漏洞以便强化暴力攻击。由于很难修复IoT设备存在的漏洞，且修复速度较慢，因此与IoT相关的漏洞可以在更长时间内作为有效的攻击媒介。我们收集的数据显示，IoT设备上线不到5分钟就会受到第一波暴力攻击。这些设备会在24小时内再次受到利用已知漏洞发起的攻击。

详细信息

通过利用基于IoT的漏洞，僵尸网络开发者只需少量工作就能在僵尸网络中增加设备的数量，包含特定IoT漏洞的大量Mirai变体就是很好的一个例子。根据通过蜜罐获得的数据，我们可以看到，从一个漏洞公之于众到僵尸网络开发者将其融合到僵尸网络中只需要很短的周转时间。

我们持续发现攻击者混合利用新的和旧的IoT漏洞对蜜罐发起攻击，依然能发现利用旧IoT漏洞的攻击行为的原因主要有两个。第一，IoT设备可能在货架上连续放数周时间才会有人购买，如果发布了针对该设备的安全更新，这些更新不会被应用到设备上，除非更新软件，因此在拆箱的那一刻设备就有了漏洞。由于这个原因，IoT设备接入网络后很快会被攻击者利用。我们的蜜罐数据显示，设备接入互联网只有几分钟，攻击者就开始扫描并尝试暴力登录设备。第二个原因是IoT设备更新补丁程序的速度实在太慢，这些设备被当成了“一劳永逸”型的设备，试想一下，你上次更新IP摄像头或电缆调制解调器是什么时候？

结论

IoT设备迟早会更新补丁程序，但不会像操作系统那样时常进行更新，也不会得到同样的重视。这让基于IoT的漏洞具备更好的持久性和有效性，对僵尸网络开发者自然具有很强的吸引力。通过我们的蜜罐数据就可以发现这一趋势。

由于大量IoT设备连入互联网，攻击者可以轻松、快速地找到存在漏洞的设备。加上漏洞设备的“开启”时间和安全漏洞更新的应用时间存在极大的不确定性，攻击者可以迅速积累大型僵尸网络。大多数情况下，这些僵尸网络会被立即转化为DDoS攻击部队。在2016年Mirai实施的DDoS攻击中，我们发现创建一个大型IoT僵尸网络并造成重大破坏并不需要大费周章。

随着2019年到来，我们会继续看到更多利用IoT漏洞的攻击行为，一个重要的原因是攻击者可以轻松更新Mirai等僵尸网络源代码以便利用这些漏洞。由于攻击者能够在最短的时间内利用最少的资源创建更大的僵尸网络，因此我们看到IoT僵尸网络的数量呈现增长趋势。根据NETSCOUT Arbor此前发布的《2019年安全形势预测》显示，由于能够迅速利用IoT漏洞并对特定的设备和流程发起攻击，威胁发起者将变得有恃无恐。在不断变化的威胁形势下，这就是最新的趋势，灵活的攻击者调整他们的解决方案，并利用新的工具入侵现有的网络安全防御系统。企业和消费者需要持续保持警惕并随时响应，才能抵御攻击，建立新的行业最佳做法。

#

关于作者

徐开勇（George Tsui）

NETSCOUT Arbor中国和香港地区总经理

徐开勇（George Tsui）先生现任NETSCOUT Arbor中国和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络，以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前，他曾任英国电信公司区域总监，管理大中华区的销售渠道业务和运营，全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前，他曾在香港电讯和Infonet香港公司担任不同的高级职务。

徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验，其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

徐开勇先生在香港办公，他拥有英国诺丁汉大学（University of Nottingham）电气与电子工程学士学位。