Trend Micro发布IoT安全研究报告,3招强化IoT设备安全性

根据Trend Micro所提出的《Trend Micro 2020 Midyear Cybersecurity Report》(PDF)报告指出,2020年上半年中针对路由器、各类设备攻击较2019年下半年相比增加了70%,其中也包含对物联网(IoT)系统的攻击,于是他们研究了Mirai和Bashlite这2种IoT僵尸网络恶意软件,并进行IoT攻击趋势来分析。

为了要分析这2款恶意软件的行为,Trend Micro关注了对应的C&C(Command and Control,可理解为僵尸网络的控制中心)服务器、指令以及相关IP位置,并收集了恶意软件传播常用的攻击方法,并检查变异情况。

Trend Micro除了自行收集连接到Mirai与Bashlite C&C服务器的IP与通信端口,也从开源信息、Twitter贴文等管到获取更多信息,分析从2019年1月1日到2020年8月31日收集的信息。

研究过程中总共监控了7,030台Mirai C&C服务器与5,010台Bashlite C&C服务器,其中分别有2,107、1,715台服务器至少曾经发出过1次DDoS攻击(Distributed Denial-of- Service,分布式拒绝服务攻击)。这些服务器平均发出248.8条DDoS攻击指令,其中有136台服务器发出1,000条以上指令,其它多数则低于500。

Trend Micro指出这些恶意软件分别于2016年与2014年首次出现,距今已经有段时间,但C&C服务器的活动仍相当活跃,此外他们也发现有573个C&C服务器共享相同的IP位置,推测可能有网络犯罪组织同时使用Mirai和Bashlite作案,或是同一IP位置另一组织使用。

DDoS攻击由图片上方的C&C服务器发动,控制许多被感染的将僵尸计算机对目标进行大规模访问,以瘫痪目标的I/O带宽或计算资源,由于。由于僵尸计算机通常只需负责对攻击目标创建大量连接,因此运算性能低落但数量庞大,且安全防护薄弱的物联网设备是理想的僵尸计算机人选。(图片来源:维基百科,本图采用GPL2.1授权,作者为Everaldo Coelho与YellowIcon)

Trend Micro总共监控12,040台Mirai与Bashlite C&C服务器,其中有3,822台至少曾经发出过1次DDoS攻击。(图片来源:Trend Micro,下同)

C&C服务器各月份的活动情况趋势图。

大多数DDoS攻击指令集中由少数服务器发出。

在经过研究与分析各种数据之后,Trend Micro提出危害指标(Indicators of Compromise,IOC)来加强安全防护的能力,将针对IoT恶意软件的下载网址加入Trend Micro的网业信誉数据库(Web Reputation Database),以强化旗下安全防护产品的安全性。另一方面,当Trend Micro在研究过程发现新样本,也会主动创建对应的检测模式,以增加产品识别威胁的能力。

Trend Micro也对家中有IoT设备的用户提出下列建议,以避免外来攻击造成威胁,

IoT设备安全提醒

※避免使用默认用户名和密码,请创建难以破解的高强度密码,以避免IoT设备受到暴力破解或密码列表等攻击。

※定期更新IoT设备软件、固件,以修补安全漏洞。

※如果不需要使用互联网功能,请勿将IoT设备连接至互联网,只将它连至家中路由器内的局域网络,以防止攻击者由外部发动攻击。

Trend Micro智能网安管家是从路由器端就提供网络安全防护,可以避免家中IoT设备遭受攻击。

当然,Trend Micro也建议用户可以参考自家提出的解决方案,通过智能网安管家等产品的智慧扫描技术,在路由器阻挡外来威胁,确保家中设备的安全。