h t i g b u m o c . 5 2018 年 IoT 安全威胁分析报告 目录 一、IoT 的发展现状 .................................................................................... 4 二、IoT 攻击常见设备与“黑客武器库” ..................................................... 5 m o c . 5 （一）最受黑客欢迎的设备：路由器 ................................ 7 （二）经久不衰的攻击：视频摄像头 ................................ 8 三、IoT 攻击源统计 ..................................................................................... 9 b u （一）欧美 — IoT 恶意代码控制服务器的家乡 ...................... 9 （二）中国成 IoT 攻击活动最频发的国家 ........................... 10 四、 h t i g IoT 恶意软件传播统计.................................................................... 13 （一）DDoS 依然是 IoT 恶意软件的主流功能...................... 13 （二）超过 8 成恶意软件具备自我传播功能 ......................... 15 （三）弱口令传播方式依旧盛行，Telnet/SSH 是主要传播途径 ....... 15 （四）IoT 漏洞传播成为恶意软件主流的传播方式 ................... 16 五、总结 .................................................................................................... 17 参考链接： ................................................................................................ 20 关于腾讯安全云鼎实验室 ............................................................................ 20 2018 年 IoT 安全威胁分析报告 前言 2018 年，是 IoT 高速发展的一年，从空调到电灯，从打印机到智能电视， 从路由器到监控摄像头统统都开始上网。随着 5G 网络的发展，我们身边的 IoT 设备会越来越多。与此同时，IoT 的安全问题也慢慢显露出来。 m o c . 5 腾讯安全云鼎实验室对 IoT 安全进行了长期关注，本文通过云鼎实验室听 风威胁感知平台收集的 IoT 安全情报进行分析，从 IoT 的发展现状、IoT 攻击 b u 的常见设备、IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍。 h t i g 2018 年 IoT 安全威胁分析报告 一、IoT 的发展现状 m o c . 5 （图片来自网络） 近几年 IoT 设备数量飞速增长， 2018 年一共有 70 亿台 IoT 设备，每年 b u 保持 20%左右的速度增长，到 2020 年预计 IoT 设备可达 99 亿台。 h t i g 图 全球 IoT 设备增长趋势 ( 数据来源：State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating ) 2018 年 IoT 安全威胁分析报告 随着 IoT 设备的普及，IoT 安全问题越来越多。根据卡巴斯基 IoT 安全报 告 New trends in the world of IoT threats，近年来捕获到的 IoT 恶意样本 数量呈现爆炸式的增长，从侧面反映了 IoT 安全问题越来越严峻。 图 IoT 恶意样本数量 m o c . 5 b u h t i g ( 数据来源：卡巴斯基 New trends in the world of IoT threats ) 二、IoT 攻击常见设备与“黑客武器库” 现实生活中哪些 IoT 设备最容易被攻击呢？这是我们在做研究时第一时间 考虑的问题。 被攻击后的设备，通常会进入黑客的武器库。黑客通常通过设备弱口令或者 远程命令执行漏洞对 IoT 设备进行攻击，攻击者通过蠕虫感染或者自主的批量 2018 年 IoT 安全威胁分析报告 攻击来控制批量目标设备，构建僵尸网络，IoT 设备成为了黑客最新热爱的武器。 图 IoT 最常被攻击的设备类型 m o c . 5 b u h t i g ( 数据来源：腾讯安全云鼎实验室 ) 云鼎实验室听风威胁感知平台统计数据显示，路由器、摄像头和智能电视是 被攻击频率最高的三款 IoT 设备，占比分别为 45.47%、20.71%和 7.61%，实 际中，摄像头的比例会更高，本次统计数据未包含全部摄像头弱口令攻击数据。 智能电视存在的安全隐患是 ADB 远程通过 5555 端口的调试问题，电视存 在被 root、被植入木马的风险，本次不做过多介绍。下文中会重点讨论路由器 和摄像头的安全问题。 2018 年 IoT 安全威胁分析报告 （一）最受黑客欢迎的设备：路由器 据统计，路由器（多数为家庭路由器）在 IoT 设备中的攻击量占比将近一 半。大量恶意攻击者利用主流的品牌路由器漏洞传播恶意软件，构建僵尸网络。 以下为最常被攻击的路由器品牌占比统计： 图 最常被攻击路由器统计 m o c . 5 b u h t i g ( 数据来源：腾讯安全云鼎实验室 ) 从统计数据中可以看到，被攻击的路由器多为家庭路由器，通常市场保有量 特别巨大，一旦爆出漏洞，影响范围较广。 例如：某公司 HG532 系列路由器在 2017 年 11 月爆出了一个远程命令执 行漏洞，而该系列路由器数量巨大，针对该系列路由器的攻击和蠕虫利用非常多, 攻击占比高达 40.99%。其次是 *_Link 系列路由器，*_Link 系列路由器爆出过 多个远程命令执行漏洞，因此也广受恶意攻击者欢迎。 以下为恶意攻击者利用较多的漏洞列表： 常用端口 漏洞 37215 某公司 HG532 系列路由器远程命令执行漏洞（CVE-2017-17215） 49152 多个 *_Link 产品 UPnP SOAP 接口多个命令注入漏洞 80/8080 *_Link DIR-600 和 DIR-300 中的多个漏洞 52869 *ealtek SDK 的 miniigd SOAP 服务中的远程代码执行漏洞 （CVE-2014-8361） 80/8080 *inksys 多款路由器 tmUnblock.cgi ttcp_ip 参数远程命令执行漏洞 （CNVD-2014-01260） 80/8080 某公司 GPON 光纤路由器命令执行漏洞（CVE-2018-10561/62） 8080 *etGear DGN 设备远程任意命令执行漏洞 53413 *etcore(*etis)路由器 53413/UDP 后门服务漏洞 7547 *IR D1000 无线路由器 WAN 端远程命令注入 b u h t i g （二）经久不衰的攻击：视频摄像头 m o c . 5 2016 年 10 月份，黑客通过操纵 Mirai 感染大量摄像头和其他设备，形成 了庞大的僵尸网络，对域名提供商 DYN 进行 DDoS 攻击，导致了大面积网络 中断，其中 Amazon、 Spotify、 Twitter 等知名网络均受到影响。Mirai 僵 尸网络也成为了 IoT 安全的标志性事件。 针对摄像头的攻击主要是两种方式，一是弱口令，二是漏洞利用。 A、摄像头弱口令 密码破解是摄像头最常用的攻击方式，一般利用厂家的默认密码。 以下为部分厂家摄像头的最常使用的十大默认用户名/密码： 2018 年 IoT 安全威胁分析报告 十大默认用户名/密码 admin/admin Admin/1234 admin/1234 admin/123456 admin/<无密码> admin/password admin/12345 root/pass root/<无密码> root/camera m o c . 5 B、摄像头漏洞 EXPLOIT DATABASE 收录了 120 多个摄像头漏洞，如下为搜索到的部分 品牌摄像头漏洞： b u h t i g 三、IoT 攻击源统计 （一）欧美 — IoT 恶意代码控制服务器的家乡 云鼎实验室针对恶意代码控制服务器进行了统计，筛选出了 IoT 恶意代码 控制服务器所在国 Top 10，位于国外的 IoT 恶意代码控制服务器占比达到 94.72%，中国仅占 5.28%， IoT 恶意代码控制服务器大量分布在美国和欧洲。 2018 年 IoT 安全威胁分析报告 图 IoT 恶意代码控制服务器国家分布 Top 10 m o c . 5 （ 数据来源：腾讯安全云鼎实验室 ） b u （二）中国成 IoT 攻击活动最频发的国家 h t i g 图 IoT 攻击源国家分布 Top 10 （ 数据来源：腾讯安全云鼎实验室 ） 2018 年 IoT 安全威胁分析报告 注：数据来源于听风蜜罐系统，存在数据的缺失和遗漏的情况，本文只是大致统计趋势和比例，一些国家的数据可能 会缺失。 中国是全球 IoT 攻击最多的国家，同时也是 IoT 攻击最大的受害国。由于中 国拥有较多的 IoT 设备，很多设备存在漏洞和弱口令，因此设备被恶意软件感 染的数量也较为巨大，设备相互攻击感染的问题较为严重。 国内 IoT 安全问题： 对于国内的 IoT 安全问题，我们统计了国内 Top 10 攻击源省份： m o c . 5 图 IoT 攻击源中国省份 Top 10 b u h t i g （ 数据来源：腾讯安全云鼎实验室 ） IoT 攻击源最多的五个省份是 江苏、广东、台湾、北京和浙江，IoT 的攻击 源分布与 GDP 有一定的关联性。经济发达的地区 I