《2019物聯網安全年報》全文

一次性付費進群，長期免費索取教程，沒有付費教程。

進微信群回復公眾號：微信群；QQ群：460500587

 教程列表 見微信公眾號底部菜單 |  本文底部有推薦書籍 

微信公眾號：計算機與網絡安全

ID：Computer-network

（報告由中國電信網絡與信息安全研究院&綠盟科技聯合發布）

隨著物聯網的不斷發展，物聯網安全也被越來越多的人所關注。我們於 2016 年發布《物聯網安全白皮書》，進行物聯網安全的科普介紹；於 2017 年發布《2017 物聯網安全年報》，關注物聯網資產在網際網路上的暴露情況、物聯網設備脆弱性以及相關風險威脅分析；於 2018 年發布《2018 物聯網安全年報》，關注物聯網資產在網際網路上的實際暴露情況，通過將物聯網資產與威脅情報相關聯，得到其面臨威脅的整體情況，並重點對物聯網應用中常見的 UPnP 協議棧的安全性進行了分析。2019 年，我們繼續深入研究物聯網資產、風險和威脅：在物聯網資產測繪方面，我們更新了 IPv4 網絡中物聯網資產的實際暴露數據，此外還研究了 IPv6 網絡中的物聯網資產暴露情況；在威脅分析方面，我們分別從漏洞利用和協議利用兩個角度，對捕獲到的相關物聯網威脅事件和威脅源進行了分析。最後，我們給出了以物聯網終端為核心的物聯網終端安全防護解決方案。

報告中的主要內容如下：

本文對 2019 年的重大物聯網安全事件進行了回顧。委內瑞拉的停電事件、物聯網殭屍網絡和勒索軟體大規模攻擊事件、波音系統被爆出嚴重漏洞，這幾個事件均表明當前物聯網安全形勢依然嚴峻；D-Link 終端更新問題說明大批量已經不再更新維護的終端如果不經過有效治理，將長期存在脆弱性和風險；黑客能接管數十個殭屍網絡也說明可以從技術上通過攻擊殭屍網絡的方式，以攻代守，進而治理殭屍網絡；眾多的安全事件表明，安全風險的源頭均指向了脆弱的物聯網終端，可能是考慮到物聯網終端安全形勢嚴峻，美國和日本在 2019 年頒布了法令和政策以對物聯網終端進行治理。

如果使用歷史數據來描繪暴露資產情況，會導致統計結果要高於實際暴露數量。《2018 物聯網安全年報》中，我們對物聯網資產的網絡地址變化情況進行了分析，得到了物聯網資產的實際暴露情況，本文對去年的數據進行了更新。國內來看，暴露設備類型最多的是攝像頭，其次是路由器，臺灣省暴露的物聯網資產最多，約佔國內總量的 30%。

隨著物聯網應用的蓬勃發展、IPv4 地址的耗盡，IPv6 普及已成必然趨勢，IPv6 網絡上暴露的物聯網資產將成為攻擊者的重點目標，所以能夠對 IPv6 資產和服務做準確的測繪，對於網絡安全具有著重要的意義。我們對 IPv6 掃描方法進行了介紹，並對我們已經找到的物聯網 IPv6 資產進行了分析，我們找到的暴露資產以 IP 電話和視頻監控設備為主，雖然相比於 IPv4 暴露的數量並不多，但相信隨著 IPv6 的普及，必將會有大量物聯網資產暴露出來，需要引起相關機構的重視。

在綠盟威脅捕獲系統中，我們共捕獲到 30 餘種針對物聯網漏洞的利用行為，其中以遠程命令執行類漏洞居多。這也說明了，從公網物聯網安全態勢的角度來講，雖然每年都會有幾百到幾千不等的物聯網漏洞被公開，但是真正能夠造成大範圍影響的漏洞並不多。另外我們發現，已經捕獲的漏洞利用所對應目標設備以路由器和視頻監控設備為主，這也與網際網路上暴露的物聯網設備主要為路由器和視頻監控設備一致，說明攻擊者偏向於對暴露數量較多的設備進行攻擊，從而擴大其影響範圍。

本文對一些重點和高危物聯網服務進行了分析，包括 Telnet、WS-Discovery 和 UPnP。整體來看，前半年對於 Telnet 服務的利用情況逐月增加，在 8 月份活躍的攻擊者最多，直到後半年攻擊者的數量才有所減少。通過對攻擊者的弱口令分析，可以得出攻擊者主要還是以攻擊開放 Telnet服務的物聯網設備為主的結論。自 WS-Discovery 反射攻擊在 2019 年 2 月被百度安全研究人員披露以來，下半年利用 WS-Discovery 進行反射攻擊的事件明顯增多。綠盟威脅捕獲系統捕獲的 WS-Discovery 反射攻擊事件從 8 月中旬開始呈現上升趨勢，9 月份之後增長快速，需要引起安全廠商、服務提供商、運營商等相關機構足夠的重視。UPnP 服務的暴露數量較去年減少約22%，但依舊在兩百萬量級，其帶來的風險不容小覷。從國家分布來看，俄羅斯的暴露數量變化最為明顯，相比去年下降了 84%，因此，我們推測俄羅斯安全相關部門推動了對於 UPnP 的治理行為。這也在一定程度上反應出物聯網威脅正在從監測走向治理。

本文對面向物聯網終端的安全防護機制進行了介紹，包括物聯網終端的信息保護和物聯網終端的異常分析。終端的安全得到保障，整個物聯網的安全將有一個堅實的基石，其在認證、加密、取證等各方面的需求將一步一步在各個環節得到保障。作為安全廠商，需要不斷地和終端廠商合作，一致解決終端的安全問題，強化雲端的安全分析能力，為物聯網安全保駕護航。

總體來說，物聯網安全形勢依舊嚴峻，物聯網安全防護任重道遠，國家、企業和公民均需要不斷努力，從而降低物聯網所面臨的風險。國家層面，政府、立法機構等相關部門需要逐步完善物聯網安全方面的法規、政策，以推動物聯網生態的安全建設；企業應不斷加強人員、設備的管理規範，甚至需要付出成本以降低 DDoS、勒索軟體帶來的損失；公民需要加強安全意識，購買相關的產品時需要考慮設備的安全性可能給自己帶來的損失，在力所能及的情況下，了解已購設備的配置項，降低因配置不當帶來的風險。由於攻擊者偏向於攻擊暴露數量較多的存在漏洞的設備，從治理的角度來講，應將對網際網路上暴露數量較多的設備的治理放在優先級較高的位置。

最後，我們有如下預測：

物聯網資產暴露數量依舊很多，針對物聯網資產的漏洞利用層出不窮，政府相關部門、電信運營商、安全公司和用戶的聯動將會越來越多地出現在對於物聯網風險的治理上。

類似 WS-Discovery 反射攻擊這種利用物聯網資產進行攻擊的新型攻擊方法將會隨著物聯網設備的增多而不斷出現，暴露數量多並且之前並未引起足夠關注的物聯網資產需要重點關注。

雖然 IPv6 地址也存在動態變化的情況，但隨著 IPv6 的大力推廣，我們已發現的 IPv6 環境下的物聯網資產只是冰山一角，會有更多的物聯網資產暴露出來，未來將會出現更多 IPv6 環境下利用物聯網資產的攻擊事件。

1、2019年重大物聯網安全事件回顧

隨著 CVE 漏洞的披露數量逐年增加，黑客發起的攻擊行為也在逐年增加。2019 年 10 月 15 日，卡巴斯基檢測到，2019 年上半年針對物聯網終端的攻擊數量比 2018 年上半年增長了 9 倍。2019 年，在大小不一的 323 起物聯網相關的安全事件中，發動 DDoS、勒索軟體攻擊等活動的事件達到了 69 起，佔總數的 21.3%。從這兩年的物聯網安全事件中也能明顯體會到，物聯網中暴露的安全問題已經嚴重威脅到個人、企業甚至國家的安全。相比 2018 年，在 2019 年日本和美國採取相應的政策，甚至頒布法令來促進物聯網終端的安全建設，以應對日益嚴重的物聯網安全形勢。

本章列舉了 2019 年比較重大的物聯網安全事件，通過回顧相關的安全事件，讀者可了解到當前的物聯網安全形勢。

觀點 1：2019 年，基於物聯網終端的攻擊事件頻發，大規模攻擊不時見諸報端。由於物聯網終端的更新維護非常困難，可預見相關攻擊事件會長期存在。相比 2018 年，美日中在政策和法律法規層面對終端安全愈加重視。

1.1 委內瑞拉和紐約的大規模停電事件

1.1.1 事件回顧

從 2019 年 3 月 7 日傍晚（當地時間）開始，委內瑞拉國內，包括首都加拉加斯在內的大部分地區，持續停電超過 24 小時。在委內瑞拉 23 個州中，一度有 20 個州全面停電。停電導致加拉加斯地鐵無法運行，造成大規模交通擁堵，學校、醫院、工廠、機場等都受到嚴重影響，手機和網絡也無法正常使用。

2019 年 3 月 11 日晚，委內瑞拉總統馬杜羅表示電力系統遭遇了三階段攻擊。第一階段是發動網絡攻擊，主要針對西蒙 • 玻利瓦爾水電站，即國家電力公司（CORPOELEC）位於玻利瓦爾州古裡水電站的計算機系統中樞，以及連接到加拉加斯（首都）控制中樞發動網絡攻擊；第二階段是發動電磁攻擊，「通過行動裝置中斷和逆轉恢復過程」；第三階段是「通過燃燒和爆炸」對米蘭達州 Alto Prado 變電站進行破壞，進一步癱瘓了加拉加斯的所有電力。圖 1.1 是當時委內瑞拉發生三次斷電的電力走勢圖：

圖1.1  委內瑞拉發生三次斷電的電力走勢圖

委內瑞拉導致如此大規模停電的真正原因仍然不能確定。從內因看，委內瑞拉電力基礎設施薄弱，設備維護不到位，技術人員水平低下，工業控制系統防護不足等因素，都是影響電廠穩定工作的巨大隱患，尤其電能關係著人們生活、生產、醫療等方方面面，一旦出現問題將會給整個國家帶來不可估量的損失。但本事件背後也有可能存在外因，反映出的是國家之間的對抗，地緣政治導致網絡空間衝突。馬杜羅 3 月 12 日再次透露，攻擊的源頭來自休斯頓和芝加哥，很可能是在五角大樓的命令下，由美軍南方司令部直接發動的此次攻擊。

就在委內瑞拉停電事件後的四個月，2019 年 7 月 13 日傍晚 6 時 47 分，美國紐約曼哈頓中城與上西區也發生大規模停電，曼哈頓中心地帶的時代廣場、地鐵站、電影院、百老匯等大片區域陷入黑暗，最嚴重時大約有 73000 用戶受到影響。巧合的是在 42 年前的同一天（1977 年 7 月 13 日），紐約也同樣發生了嚴重的大規模停電，導致當時在混亂中發生了 1000 多起縱火案和 1600 多家商店遭到洗劫，損失超過 3 億美元。如此詭異的巧合，讓此次停電的原因「撲朔迷離」。有人認為這是一起網絡攻擊，有人認為是蓄謀已久的恐怖襲擊，也有人將其定義為「伊朗對美國的報復」等等。不過，隨著紐約市長白思豪（Bill de Blasio）在媒體發布會上講話，停電的真正原因是某變壓器起火。雖然，這次紐約停電不是一場人為惡意攻擊，但同樣為基礎設施的安全性敲響警鐘。

1.1.2 小結

烏克蘭電廠攻擊事件之後，全國大範圍斷電的橋段又在委內瑞拉和紐約上演。電力系統作為國家重要基礎設施，關乎民生，更關乎國家安全。這幾起電力領域的安全事件反映出傳統工控系統接入網際網路時存在的重大安全隱患，同樣也說明以物聯網、工業網際網路為支撐技術的關鍵基礎信息系統已經成為了海陸空天外國家間對抗的重要戰場。強化物聯網設施和應用的防禦和應急響應能力，保障國家安全，刻不容緩。

1.2 受遠程代碼執行問題影響的 D-Link 路由器將不會被修復

1.2.1 事件回顧

2019 年 9 月，網絡安全公司 Fortinet 的 FortiGuard 實驗室在 D-Link 產品中發現了一個未經身份驗證的遠程執行代碼漏洞，許多 D-Link 產品，包括但不限於 DIR-655C，DIR-866L，DIR-652 和 DHP1565，均受該漏洞的影響。FortiGuard 於 9 月 22 日向廠商報告了 D-Link 漏洞，次日廠商承認了該漏洞的存在，但 9 月 25 日廠商聲明該產品已停產，因此不會發布補丁，最終 10 月 3 日廠商公開發布該問題並發布了通報。

目前，D-Link 於 2019 年 11 月 19 日更新了公關聲明，表示 DIR-866，DIR-655，DHP-1565，DIR652，DAP-1533，DGL-5500，DIR-130，DIR-330，DIR-615，DIR-825，DIR-835，DIR-855L 和 DIR862都具備潛在的漏洞，但因為產品已達到壽命終止的狀態，D-Link 將不再為其提供更新以解決漏洞問題。

1.2.2 原理簡述

一些 D-Link 路由器包含的 CGI 功能以 /apply_sec.cgi 的形式向用戶公開 ，並由二進位文件 /www/cgi/ssi 分發到設備上。通過對易受攻擊的路由器的 /apply_sec.cgi 頁執行 HTTP POST 請求，遠程未經身份驗證的攻擊者可能能夠在受影響的設備上以 root 特權執行命令，此 CGI 代碼包含兩個缺陷：

● 該 /apply_sec.cgi 代碼暴露在未經授權的用戶。

● ping_test 操作的 ping_ipaddr 參數無法正確處理換行符。

1.2.3 小結

物聯網設備通常具備非常久的使用周期，因此網際網路中暴露著很多已經停產、官方不提供軟體更新的設備。廠商不提供更新，漏洞沒有被修復，意味著這種設備一旦暴露，極有可能成為殭屍主機，被用於 DDoS 等攻擊行為，物聯網殭屍網絡經久不衰，物聯網安全事件頻發，與大量「孤老」的物聯網設備不無關係，這種現象也是物聯網安全治理面臨的一個巨大的挑戰。

1.3 物聯網殭屍網絡再次發起大規模 DDoS 攻擊

1.3.1 事件回顧

2019 年 7 月 24 日，網絡安全公司 Imperva 公司表示，他們一個娛樂行業的 CDN 客戶在 2019 年四月至五月期間受到了大規模 DDoS 攻擊。該攻擊針對站點的身份驗證組件，由一個殭屍網絡領導，該殭屍網絡協調了 402000 個不同的 IP，發動了持續 13 天的 DDoS 攻擊，並達到了 29.2 萬 RPS 1 的峰值流量和每秒 5 億個數據包的攻擊峰值，這是 Imperva 迄今為止觀察到最大的應用層 DDoS 攻擊，如圖1.2 所示。

圖1.2  Mirai 殭屍網絡攻擊的峰值

1.3.2 原理簡述

Imperva 分析發現進行攻擊的 IP 地址主要來源是巴西，攻擊者使用了與其娛樂行業客戶應用程式相同的合法 User-Agent 來掩蓋其攻擊。一段時間內，攻擊針對流應用程式的身份驗證組件，由於不確定攻擊者的意圖是暴力攻擊還是 DDoS 攻擊，導致沒有準確的緩解機制。

最終，通過尋找攻擊 IP 的共同點，Imperva 發現，大多數 IP 具有相同的開放埠：2000 和7547，而根據網絡安全博客 Recorded Future的說法，2000 埠通常為 MikroTik 的帶寬測試伺服器協議，所有被感染的 MikroTik 設備均以打開 TCP 2000 埠。這表明 Imperva 發現的 DDoS 攻擊極有可能與受 Mirai 惡意軟體感染的物聯網設備相關。

1.3.3 小結

相比傳統的 PC 設備，物聯網設備雖然通常性能較弱，但近年來，它們給物聯網帶來的威脅和損失不容忽視。類似基於 Mirai 的殭屍網絡，正逐漸把物聯網設備納入其殭屍主機的範圍，將其用於 DDoS攻擊，次數頻繁，攻擊峰值屢創新高。

自從 Mirai 源碼 2016 年被公開後，出現了大量將各種新 CVE 利用加入武器庫以加速傳播的 Mirai變種。雖然距離 Mirai 的作者被捕已經過了兩年，但基於 Mirai 源碼的殭屍網絡，非但沒有減少，其規模反而持續擴大，不斷刷新 DDoS 攻擊的帶寬記錄。我們分析出現該現象的原因首先是物聯網設備有數量多、分布廣的特點，非常適合 DDoS 的攻擊場景；第二，攝像頭、路由器等物聯網設備通常生命周期長，人機互動程度低，一旦被惡意軟體攻陷，很長一段時間內難以被發現和清除，將成為頑固的殭屍主機；最後，物聯網設備不同於桌面機或伺服器，沒有殺毒軟體等防護措施，更容易被攻陷。因此，多方面原因綜合導致物聯網設備逐漸成為 DDoS 攻擊的主力，對 Mirai 等物聯網殭屍網絡的治理，需要設備廠商、運營商、用戶等多方共同努力。

1.4 洩露代碼暴露波音 787 系統中存在多個漏洞

1.4.1 事件回顧

在 2019 年的 Black Hat 黑客大會上，來自 IOActive 的研究人員公布了波音 787 部分組件的安全漏洞，研究人員聲稱利用這些漏洞可以對飛機的其他關鍵安全系統發送惡意指令，從而對飛機造成危害。洩露的波音 787 代碼來自位于波音公司網絡中的一臺未加固的伺服器，於 2018 年被安全研究人員發現的。

早在 2015 年，就有研究人員在乘坐聯合航空的航班時，對機上系統總線進行滲透。該研究人員通過自定義適配器連接到機上娛樂系統，並藉此對飛行管理系統進行入侵。雖然後面的調查顯示這位研究人員並沒有設法劫持或篡改飛行管理系統，但這起事件證明了針對飛機的入侵行為是可能的。

1.4.2 原理簡述

研究人員發現，波音 787 客機的 CIS/MS （Crew Information Service/Maintenance System）組件中，存在多個內存破壞漏洞，攻擊者可以利用這些漏洞對波音客機的機身網絡總線進行滲透，向機身的關鍵系統（如引擎、剎車、傳感器等）發送惡意指令，造成安全威脅。存在安全漏洞的 CIS/MS 組件位於飛機的兩路通訊總線的邊界上，攻擊者可以通過遠程、物理等多種方式實現成功入侵。

本事件所涉及的主要組件採用了 VxWorks 系統，存在漏洞的二進位文件未開啟 NX、調用棧保護等防護措施，導致攻擊者通過一個常見的內存漏洞就能夠劫持程序執行。研究人員在 CIS/MS 組件中，發現了數百個存在風險的函數引用，如未檢驗長度的字符串處理函數等。同時，此組件還存在一些常見的二進位應用漏洞如緩衝區溢出、內存越界讀寫、整數溢出等。

研究人員公開了四個可供利用的漏洞，並將其組成了攻擊鏈，以 TFTP 服務棧溢出獲得執行權限，繼而通過 VxWorks 的內核漏洞提權，獲得飛機內部網絡的控制權。如圖 1.3 所示。

圖1.3  通過 CIS/MS 組件飛機滲透內部網絡的攻擊鏈

1.4.3 小結

有相當數量的物聯網系統和應用的開發者並沒有安全編碼的經驗，有大量的物聯網產品沒有經過代碼審計、安全測試等流程，這也是物聯網安全問題頻發、物聯網設備安全防護水平低下的重要原因之一。

嵌入式設備與 PC、智慧型手機的系統架構不同，安全機制與漏洞緩解措施相對更少，一個很小的脆弱點就能夠導致整個系統的安全性遭到破壞。與其他物聯網設備一樣，飛機中的信息和自動化系統同樣也會遭到攻擊者的入侵。而飛機一旦被攻擊者控制，很可能帶來災難性的後果，需要我們百分之二百的謹慎。

從本事件得到的啟發是，在開發的環節，團隊應有良好的編程習慣與安全開發思想，在編譯時開啟必要的防護措施，都能夠大大降低漏洞風險。從維護的角度上，在整個系統的多個節點上部署防護措施，實現縱深防禦，也能夠緩解系統單點被入侵後能夠造成的損失。

1.5 LockerGoga 的勒索軟體疑屢次攻擊工廠

1.5.1 事件回顧

2019 年 1 月 24 日，法國的 Altran Technologies 遭受了 LockerGoga 惡意攻擊，2019 年 3 月 19 日，全球最大鋁生產商 Norsk Hydro 遭到黑客攻擊，全球範圍內的機器被惡意軟體感染，導致部分機器無法運轉，工廠生產方式由自動化轉為手動，大大降低了其生產效率。不僅是挪威的鋁廠，其攻擊手法疑似LockerGoga。2019 年 3 月 12 日，美國的兩個化工廠 Hexion 和 Momentive 也遭受疑似 LockerGoga勒索軟體攻擊。不到兩個月，四家歐美工廠便遭受了勒索攻擊，這種破壞型的勒索軟體，給企業帶來了巨大的損失。2019 年 7 月 23 日，有報導稱挪威鋁廠的損失達到了 6350-7500 萬美元，但具體損失無法準確給出，因為用來計算收益的計算系統也被勒索軟體入侵。

1.5.2 原理簡述

LockerGoga 的特點在於：遭受它攻擊的計算機系統將無法再次正常啟動，具備很強的破性。所以挪威的鋁廠才會損失高達數億元。2019 年 4 月 11 日，瑞星對該勒索軟體做了詳細的分析，本節簡要介紹一下該勒索軟體的攻擊原理。

該 勒 索 軟 件 的 運 行 效 果 分 兩 個 階 段：第 一 階 段 把 病 毒 程 序 復 制 到 緩 存 目 錄 「C:\Users\Administrator\AppData\Local\Temp」下；第二階段掃描大量文檔類、源碼類的文件並用 AES 加密，AES 密鑰是隨機生成，公鑰加密 AES 密鑰後，把加密的 AES 密鑰附加到文件末尾；當這兩個階段完成時，一些系統文件已經被加密了，一些關鍵文件也就無法被作業系統和應用程式訪問。如果此時重啟系統，系統將啟動失敗，如圖 1.4 所示。

圖1.4  計算機系統被 LockerGoga 攻擊後重啟失敗

1.5.3 小結

不僅僅是 LockerGoga，其他勒索軟體也對工業系統造成了重大損失，如全球第二大聽力集團Demant 被勒索造成損失達 9500 萬美元；世界上最大的飛機零部件供給商之一 ASCO，因其位於比利時扎芬特姆的工廠系統遭勒索病毒傳染，導致該公司在德國、加拿大和美國的工場被迫停產，2018 年臺積電遭遇勒索軟體襲擊，導致損失超 17 億元人民幣。

勒索軟體攻擊計算機系統後，一般會加密重要用戶文件，系統功能不受影響，以方便獲利，但是LockerGoga 會導致系統也無法啟動，即便是支付了贖金，恢復成本也將變大。

在 2018 年的物聯網安全年報中，我們也將臺灣省臺積電工廠被勒索列入了年度安全事件，可見勒索軟體攻擊工廠層出不窮，破壞巨大。這從一個側面反映出傳統的工控系統已經越來越多地接入網際網路，OT 系統與 IT 系統的融合使得工業控制系統不再是物理隔離的；此外，隨著工業網際網路的興起，工業設備與網際網路業務打通已是必然趨勢。無論是前述國家對抗，還是本事件顯示的無差異廣譜攻擊，IT 系統的安全事件已經嚴重影響了工業系統的控制安全，很有可能造成生產安全事故。

面對勒索軟體的威脅，工業廠商一定要做好關鍵文件的備份，關鍵計算機系統要做好每日更新的離線備份，以確保勒索軟體攻擊後，能很快恢復生產運營。工程師站等終端應部署殺毒軟體，並及時更新病毒庫。除此之外，對員工的安全培訓也必不可缺，員工應有不從不可信的網站下載應用程式等不明資源的意識。

1.6 WS-Discovery 服務首次被發現用於 DDoS 反射攻擊

1.6.1 事件回顧

2019 年 2 月，百度的安全研究人員發布了一篇關於 WS-Discovery 反射攻擊的文章，在該次攻擊事件中，涉及反射源 1665 個。這是我們發現的關於 WS-Discovery 反射攻擊的最早的新聞報導。ZDNet提到，今年 5 月也出現過利用 WS-Discovery 的反射攻擊，到今年 8 月的時候，有多個組織開始採用這種攻擊方式。Akamai提到有遊戲行業的客戶受到峰值為 35 Gbps 的 WS-Discovery 反射攻擊。

1.6.2 原理簡述

WS-Discovery（Web Services Dynamic Discovery）是一種區域網內的服務發現多播協議，但是因為設備廠商的設計不當，當一個正常的 IP 地址發送服務發現報文時，設備也會對其進行回應，加之設備暴露在網際網路上，則可被攻擊者用於 DDoS 反射攻擊。

WS-Discovery 協議所對應的埠號是 3702。當前，視頻監控設備的 ONVIF 規範裡面提到使用WS-Discovery 作為服務發現協議，一些印表機也開放了 WS-Discovery 服務。

1.6.3 小結

反射攻擊存在已久，隨著防護能力的增強，攻擊者的攻擊手段也在發生變化，並將注意力放在了一些新的協議上。WS-Discovery 反射攻擊作為一種新的反射攻擊類型，面向物聯網設備，在今年之前的反射攻擊介紹類文章中並未有對其的任何介紹，潛力巨大，需要引起人們的關注。在第四章，我們將會對其進行更進一步的分析。

1.7 黑客使用弱口令接管了 29 個 IoT 殭屍網絡

1.7.1 事件回顧

根據 ZDNet 報導，一位名為 Subby 的黑客通過暴力攻擊接管了 29 個用於 DDoS 攻擊的 IoT 殭屍網絡。Subby 使用了用戶名字典和常用密碼列表來對這 29 個殭屍網絡的主控伺服器（C&C，Commandand Control）進行暴力攻擊，其中一些設施使用了強度較弱的憑據，例如 root:root、admin:admin、oof:oof 等。根據 Subby 的說法，這些殭屍網絡都比較小，實際的殭屍主機（Bot）總數僅為 2.5 萬，破解的殭屍網絡相關信息如表 1.1 。

表1.1  被暴力破解的 C&C 的相關信息

1.7.2 原理簡述

之所以那麼多惡意 C&C 主機使用默認口令，因為大部分殭屍網絡的製作者很多是參考某些社區的製作教程，幾乎都不更改教程中的登錄憑證，就算更改了，也是安全等級較弱的口令組合，因此很容易受到暴力破解。克卜勒物聯網殭屍網絡的作者也承認自己是按照教程製作、部署殭屍網絡，而且只是使用 Exploit-DB 中的一些漏洞利用。可見，參考現有教程來製作殭屍網絡，目前還是很普遍的現象。

1.7.3 小結

如今，製作一個物聯網殭屍網絡程序門檻很低，一個「腳本小子」只需要在相關的技術網站上找到一些程序或者代碼，做一些簡單的修改配置就可以完成，本事件中的攻擊者輕易控制這麼多物聯網殭屍主機。很多物聯網殭屍網絡都以類似的方式構建，所以物聯網安全形勢還是十分嚴峻的。

此外，也正因為許多攻擊者也不是專業的技術人員，所以經常使用默認口令，甚至直接使用示例中C&C 伺服器的地址，本事件提供了一種以毒攻毒的治理思路，可以找到攻擊者的弱點加以利用，進而達到對惡意殭屍網絡治理的目的。

1.8 日本通過法律修正案，允許政府入侵物聯網設備

1.8.1 事件回顧

2019 年 1 月 25 日，日本通過了一項法律修正案，允許政府工作人員入侵物聯網設備。修正案的內容包括兩點，一是允許日本國家信息和通信技術研究所（NICT）通過弱口令對物聯網設備進行掃描從而發現脆弱的設備，二是 NICT 可以將這些信息作為威脅情報共享給電信運營商。與之相對應，日本從 2019 年 2 月 20 日起啟動 NOTICE 項目，開始對網際網路上的物聯網設備進行調查，識別易受攻擊的設備，並將這些設備的信息提供給電信運營商。然後，電信運營商定位設備對應的用戶，並警告用戶該問題。日本所採取的這些行為也是在為 2020 年即將在日本舉辦的夏季奧運會和帕運會的安保工作做準備，儘量避免發生類似 2018 年平昌冬奧會期間的 Olympic Destroyer 事件。

1.8.2 小結

雖然日本的這項做法可能會破壞設備完整性，或會引起部分民眾的不滿，但是從根本上解決物聯網安全問題就必須要減少甚至消除暴露在網際網路上的脆弱物聯網設備。

從前面的物聯網殭屍網絡和攻擊事件可見，物聯網上暴露了大量脆弱的物聯網設備，這些設備在較長時間內不會消失，從而成為攻擊者喜歡利用的殭屍主機。雖然 1.7 中黑客可以「以毒攻毒」，但畢竟是不合法合規的做法。物聯網安全治理的根本做法是找到暴露在網際網路上脆弱的設備和用戶，安全升級或更換設備。當然這種做法的前提是評估該設備是脆弱的，但技術上很可能用一些侵入式的手段，對設備完整性有所破壞，通常也是不合法的。所以此次日本從法律上保障政府工作人員（安全研究人員）對本國物聯網設備進行脆弱性評估，無疑掃清了安全治理過程中的法律風險。而且日本政府也在其網站上明確說明，調查旨在檢查是否容易猜出每個物聯網設備中的密碼設置，不會侵入設備或獲取調查所需的信息外的信息。對於調查獲得的信息，將根據內政和通信部長批准的 NICT 實施計劃採取嚴格的安全控制措施。另外，日本政府部門、電信運營商和用戶的聯動也同樣值得借鑑，這提供了一種很好的對於存在風險的暴露在網際網路上的物聯網設備的治理思路。

1.9 總結

本章回顧了 2019 年的 8 個物聯網安全事件。其中，委內瑞拉的停電事件、物聯網殭屍網絡和勒索軟體大規模攻擊事件、波音客機系統被挖掘出嚴重漏洞，這幾個事件均表明當前物聯網安全形勢依然嚴峻，和 2018 年的結論相似。其他事件，如 D-Link 終端更新問題說明大量物聯網終端已經得不到官方的安全更新，如果不經過有效治理，安全風險將長期存在；黑客能接管數十個殭屍網絡也說明可以以攻代守，通過攻擊殭屍網絡的方式，進而治理殭屍網絡；眾多的安全事件的源頭和目標均指向了脆弱的物聯網終端，出於安全治理的目的，美國和日本在 2019 年頒布了法令和政策以治理物聯網終端。

總之，物聯網終端安全形勢依舊嚴峻，物聯網安全防護任重道遠，國家、企業、公民均需要不斷努力，以改善物聯網安全形勢。國家層面，政府、立法機構等相關部門需要逐步完善物聯網安全方面的法規、政策，以推動物聯網生態的安全建設；企業應不斷加強人員安全培訓，規範設備的安全管理，增加必要的安全投入以降低 DDoS、勒索軟體帶來的損失；公民需要加強安全意識，購買物聯網產品時需要考慮設備的安全性可能給自己帶來的損失，及時更換登錄憑證，定期更新軟體和系統。

2、物聯網資產暴露情況分析

2.1 引言

如我們 2018 年《物聯網安全年報》中所述，網際網路上暴露的資產網絡地址是不斷變化的，使用歷史數據來描繪暴露資產情況，會導致統計結果要高於實際暴露數量，所以某個地區實際的暴露數量，應在較短的時間測繪一個周期後，統計物聯網資產數量更為準確。本章節首先將描述 2019 年物聯網資產實際暴露情況。

隨著物聯網應用的蓬勃發展、IPv4 地址的耗盡，IPv6 普及已成必然趨勢，IPv6 網絡上暴露的物聯網資產將成為攻擊者的重點目標，能夠對IPv6資產和服務準確的測繪，對於網絡安全具有著重要的意義。所以本章節還會介紹 IPv6 的物聯網資產發現方法以及暴露情況。

2.2 國內 IPv4 物聯網資產實際暴露情況

觀察 1：2019 年國內物聯網資產實際的暴露數量共有 116 萬，其中暴露設備類型最多的是攝像頭，暴露數量最多的地區是臺灣省。

在2019年11月，我們對國內物聯網資產常用埠：554（RTSP），5060（SIP），80（HTTP），81（HTTP），443（HTTPS），21（FTP），22（SSH），23（Telnet）等進行測繪，共發現 116 萬暴露的物聯網資產，其中最多的是攝像頭，暴露數量約 56 萬，此外，國內路由器的暴露數量約為 28 萬，VoIP 電話約為 26 萬，印表機約為 2 萬，如圖 2.1 所示。

圖2.1  2019 年國內 IPv4 物聯網資產實際暴露情況

暴露的物聯網資產所在地區情況如圖 2.2 所示，其中，臺灣省暴露的資產最多，共有約 34 萬，佔國內總量的 30% 左右，大約是第 2 名河南省暴露數量的 4 倍。產生這個現象的主要原因是臺灣省分配到的 IPv4 地址數量較為充足，所以大量資產不需要做地址翻譯連接網際網路，故而暴露出來；而中國大陸地區的 IPv4 地址數量是不夠的，所以暴露的地址數量相對較少。我們猜想等 IPv6 廣泛使用後，國內會有更多的物聯網資產暴露出來，面臨風險也會隨之而來，所以關注 IPv6 的物聯網資產暴露情況是十分有必要的。在 2.3 節中，我們介紹 IPv6 的物聯網資產的暴露初步情況以及 IPv6 資產測繪發現的思路。

圖2.2  2019 年國內 IPv4 資產地區分布情況

2.3 亞太部分地區 IPv4 物聯網資產實際暴露情況

觀察 2：日本物聯網資產暴露情況相較於去年總量變化不大，新加坡的物聯網資產暴露數量相比於去年增加了約 40%，這個增長可能與近些年新加坡大力發展物聯網應用有關。

在 2019 年 11 月，我們使用與 2.2 節中同樣的測繪方法對新加坡和日本的物聯網資產實際暴露情況進行統計，具體的數據如圖 2.3 圖 2.4 所示。日本暴露物聯網資產總量約 47 萬，最多物聯網資產是路由器（333,573 個），其次是印表機（70,785 個），最後是攝像頭（64,794 個）和 VoIP 電話（105 個）。新加坡暴露物聯網資產總量約 28 萬，最多物聯網資產也是路由器（232,506 個），其次是攝像頭（46,575個），最後是攝像頭（2,139 個）和 VoIP 電話（47 個）。

圖2.3  2019 年日本物聯網資產實際暴露情況

圖2.4  2019 年新加坡物聯網資產暴露情況

2.4 IPv6 物聯網資產實際暴露情況研究

本小節主要介紹 IPv6 物聯網資產的暴露情況和一些 IPv6 地址測繪方法。

2.4.1 IPv6 地址簡介

2.4.1.1 IPv6 發展

隨著物聯網、5G 的發展，網絡應用對 IP 地址的需求呈現爆炸式增長，IPv4 地址空間早已分配枯竭，並且分配十分不均勻。IPv6 憑藉充足的網絡地址和廣闊的創新空間，已經成為實現萬物互聯，促進生產生活數位化、網絡化、智能化發展的關鍵要素。2019 年 4 月，工信部發布《關於開展 2019 年 IPv6網絡就緒專項行動的通知》，以全面提升 IPv6 用戶滲透率和網絡流量為出發點，就推動下一代網際網路網絡就緒提出主要目標、任務舉措和保障措施，持續推進 IPv6 在網絡各環節的部署和應用，IPv6 的時代已經到來。

2.4.1.2 IPv6 地址分類

IPv6 的地址長度為 128 位，是 IPv4 地址長度的 4 倍。於是 IPv4 點分十進位格式不再適用，採用十六進位表示。常用冒分十六進位法表示 IPv6 地址，格式為 X:X:X:X:X:X:X:X，其中每個 X 表示地址中的 16b，以十六進位表示。在某些情況下，一個 IPv6 地址中間可能包含很長的一段 0，可以把連續的一段 0 壓縮為「::」，為了保證地址解析的唯一性，地址中「::」只能出現一次。IPv6 在地址表示、地址配置等方面均有顯著不同。根據不同的生成策略，常見的 IPv6 地址有以下幾類：

● 低位地址

在某些情況下節點的地址需要手動配置，例如路由器和伺服器的地址。網絡管理員在地址範圍內自由選擇，出於配置簡單和容易記憶的考慮，通常會選擇一些低位地址，即地址除了最後幾位，其它字節位都是 0。所以這部分 IPv6 地址的特徵是前面的地址為一致，只有地址的最後幾位是隨機的，地址樣例如圖 2.5 所示。

圖2.5  低位地址隨機的 IPv6 地址

● 部分位隨機的地址

部分位隨機的 IPv6 地址和低位地址類似，只不過並不是低位隨機，而是地址中的特定的幾位呈隨機分布，地址樣例如圖 2.6 所示。

圖2.6  部分位隨機的 IPv6 地址

● 內嵌 IPv4 地址

內嵌 IPv4 地址，就是 IPv6 地址中嵌入完整或者部分的 IPv4 地址。地址樣例如圖 2.7 所示。

圖2.7  嵌入 IPv4 地址的 IPv6 地址

● 內嵌 MAC 地址

內嵌 MAC 地址又稱為 EUI-64 地址，是通過接口的鏈路層地址（MAC 地址）產生的，首先在48 位的 MAC 地址的中間位置（從高位開始的第 24 位後）插入十六進位數 FFFE，並且要 U/L（Universal/Local）位（從高位開始的第 7 位）設置為 11， 最後得到的就是 64 位 EUI-64 格式地址。這類地址的主要特徵是地址中包含 FFFE 字符，地址樣例如圖 2.8 所示。

圖2.8  MAC 地址嵌入的 IPv6 地址

MAC 嵌入型地址具體的轉換過程如圖 2.9 所示：

圖2.9  EUI-64 地址 MAC 嵌入過程

此外，還有埠嵌入地址、臨時地址、IPv6 過渡地址等，感興趣的讀者可以查閱相關資料，本節不再贅述。

2.4.1.3 IPv6 物聯網資產發現的挑戰和思路

如前所述，研究適用於 IPv6 的物聯網資產測繪技術對下一代網絡安全和物聯網資產管理具有重要意義。

IPv6 的地址空間過大，IPv6 地址數量是 IPv4 的 296 倍，如果以 IPv4 資產發現的方式，在全網段測繪 IPv6 資產，從時間開銷和資源消耗上都是不切實際的；此外，目前 IPv6 地址使用的實際數量較少，並且地址分布的隨機性較大，難有針對性的測繪策略發現某網絡中存活的 IPv6 資產，這也無形增加了測繪難度。所以面向 IPv4 的地址測繪方法不適用於 IPv6 網絡。

國內外研究者也在此方向上做了很多嘗試性的研究，公布了一些IPv6地址的集合供後續研究，2.3.1.2節中也提到的地址分配規律可以有效減少測繪空間，我們將在下節從公開 IPv6 集合尋找物聯網資產，另以該集合作為種子集合，利用多種啟發式搜索算法發現周邊存活的物聯網資產。

觀點 2：目前 IPv6 的資產測繪還是學術難題，國內外相關的研究頁也屬於起步階段，但可啟發式地通過 IPv6 地址和物聯網服務的一些特性來發現 IPv6 物聯網資產。從結果看，國內的 IPv6 物聯網資產數量還是較少，應與我國的 IPv6 部署還屬於初級階段有關。

2.4.2 從已知 IPv6 地址集合中發現物聯網資產

上文已經描述了盲掃 IPv6 地址的困難性，所以我們找到一些可用的 IPv6 地址集合，通過對這些地址的測繪以及識別來發現物聯網資產。使用的地址集合包括：Hitlist維護的存活 IPv6 地址，數量約有 300 萬；NTI（綠盟威脅情報中心）中域名情報映射的 IPv6 地址集，數量約 17 億。需要說明的是，這些集合的量級相對於 IPv6 地址總量只是冰山一角，發現的存活物聯網資產數量也並不多。

我們在 IPv6 地址集中針對物聯網資產常用埠進行測繪，得到的物聯網資產約有 8 萬，類型分布情況如圖 2.10 所示，最多的物聯網資產是 VoIP 電話，共有 70682 個，其次是攝像頭，共有 13960 個，最後是路由器，共有 1549 個。

圖2.10  發現的 IPv6 物聯網資產類型分布情況

物聯網資產埠分布情況如圖 2.11 所示，可以看出數量較多的主要是 VoIP 電話開放的 5060 埠和攝像頭開放的554埠。物聯網資產所在的國家分布情況如圖 2.12 所示，物聯網資產數量最多是德國，其次是荷蘭和美國。

圖2.11  發現的 IPv6 物聯網資產埠分布情況

圖2.12  發現的 IPv6 物聯網資產國家分布情況

雖然目前全量測繪 IPv6 資產是很困難的，但地址測繪也並非無從下手，一種思路就是縮小測繪的地址空間，進行啟發式測繪，如基於 IPv6 地址生成特徵測繪和利用 UPnP 服務發現雙棧物聯網資產等方法，我們在接下來的小節中進行介紹。

2.4.3 基於 IPv6 地址生成特徵的啟發式測繪

如前所述，IPv6 地址分布存在一些特點，比如部分地址位隨機、MAC 地址嵌入等，我們可以利用這些分布特性，加入一些測繪範圍或限制條件，來降低 IPv6 地址測繪地址空間。

接下來我們用以下方法進行測繪測試，數據源來自於開源的 Hitlist 中存活的 IPv6 地址集合。

● 低位和部分位隨機地址測繪

低位 IPv6 地址測繪和 IPv4 的測繪類似，除了地址的後幾個字節，其他位均為 0，所以只需測繪對應的地址段就可以發現這些地址。

如果地址隨機位不在末端的部分位隨機的 IPv6 地址，Scan6 可以使用十六進位的區間來表示要測繪的地址範圍，實現的效果只遍歷指定地址位，其它地址位不變。對應命令：scan6 -i eth0 -d ****:983:0-3000::1，其中 0-3000（16 進位）指的只測繪遍歷範圍所在位，12,288 個地址測繪，共用了約 1 分鐘完成，發現 3,853 個存活的 IPv6 地址，見圖 2.13 。

圖2.13  部分地址位隨機的地址測繪

● 內嵌 MAC 的地址測繪

MAC 地址由兩部分組成，前 24 位是廠商的 ID，由美國電氣和電子工程師協會（IEEE）唯一分配，後 24 位廠商的擴展 ID 由廠商自己編制，組合產生全球唯一的 48 位 MAC 地址（也稱 IEEE 802 地址）。可在 IEEE 官網查詢廠商對應的 MAC 地址前 24 位的廠商 ID，具體信息格式如圖 2.14 所示。

圖2.14  MAC 地址與廠商的對應信息

利用 MAC 地址嵌入的生成規則，以及 IEEE 提供的廠商 ID 對照表，就可以通過測繪指定 IPv6 址區間內某個廠商的地址來縮小測繪範圍，進而縮短測繪時間。以 H 智能設備廠商 MAC ID 「BCAD28」為例，選取了一個有 MAC 地址嵌入資產存活的網段，做了如下測繪測試。

命令：scan6 -i eth0 -d ****:****:5491:0:0000:0000:0000:0000/64 -K " **** Technology Co.,Ltd." 參數-K是廠商名稱，表示只測繪配配置文件對應廠商的 MAC 地址段生成的 IPv6 地址，測繪網段是掩碼 /64。

本次測繪耗時約 19 個小時完成測繪，雖然只發現 1 個存活地址，但是說明了增加廠商參數的測繪MAC 嵌入型地址是可行的。因為提供了 6 位廠商 MAC ID 以及 4 位的 FFFE，測繪的隨機的地址位從16 位下降到 6 位，要測繪的地址數量就從 264-1 個下降到 218-1，大大縮短了測繪時長。此外，MAC 嵌入型的地址測繪，還有助於發現物聯網設備的 IPv6 地址。通過輸入物聯網智能設備廠商的 MAC，測繪存活地址大概率就是物聯網設備。或者通過提取 MAC 嵌入地址中的 MAC 地址，並匹配廠商信息，有助於對資產的設備類型進行識別。如圖 2.15 所示。

圖2.15  內嵌 MAC 的地址測繪

2.4.4 基於 UPnP 雙棧服務的啟發式測繪

除了上述的使用地址組成特徵測繪的方法以外，我們參考 Cisco Talos 實驗室的一篇博客文章中介紹的方法，還可以利用 UPnP 服務發現 IPv6 物聯網資產。

2.4.4.1 原理簡介

UPnP 是用來實現區域網中各類設備互通互連的協議集合，但因為錯誤配置，很多 UPnP 服務暴露在網際網路上。我們利用這個協議的一些特性，就可以發現一些暴露的、同時運行 IPv4 和 IPv6 雙棧服務的物聯網資產。

UPnP 協議中有兩個角色，一個是控制節點，一個是設備節點，每當控制節點上線時，都會向組播地址 239.255.255.250:1900 發送 M-SEARCH 的探測包，來尋找可以控制的設備，設備節點收到探測包或者剛加入網絡時，同樣都會發送一個 NOTIFY 的數據包到組播地址，來告訴各個節點它的信息。NOTIFY 包格式如下圖所示，其中的 Location 欄位是該設備的描述信息的連結，控制節點收到設備發送的 NOTIFY 的數據包之後，就會訪問其 Location 中的連結。UPnP 工作流程如圖 2.16 。

圖2.16  UPnP 工作流程

利用 UPnP 服務發現雙棧資產具體的操作如圖 2.17 所示：

● 首先將 Location 中的連結構造成我們搭建的 IPv6 的 WEB 服務地址。

● 向網際網路上暴露的 UPnP 服務的物聯網資產 IPv4 地址發送構造的 NOTIFY 的包。

● 如果探測的目標主機有 IPv6 的地址，該設備就會使用其 IPv6 地址向我們的 WEB 服務發出請求。

● 通過解析請求日誌，可獲得相應的 IPv6 資產地址。

圖2.17  利用 UPnP 發現 IPv6 物聯網資產原理

2.4.4.2 地理位置分布情況

對全球 1900 埠的 IPv4 資產進行分析，去重後發現全球的雙棧資產數量為 27,642 個，其中有27,150 個是 MAC 嵌入型地址。查詢 IP 地理庫後，獲得了這些地址的地理位置分布情況，如圖 2.18 所示。雙棧資產數量最多的地區是中國，共有15,538個資產，需要說明的是，其中臺灣省的數量就有15,296個；其次是越南，共有 5,372 個資產。

圖2.18  通過 UPnP 發現的雙棧資產的地理位置分布

根據亞太網際網路信息中心（Asia-Pacific Network Information Center，APNIC）提供的 IPv6 使用率來看，臺灣省的 IPv6 地址使用比例為 43.35%，排在全球第七位（截止 2019 年 12 月 1 日）。此外，從過去兩年暴露資產數據得知，臺灣省物聯網資產暴露數量也是相對較多的。所以臺灣省的雙棧資產數量如此多，可能和這兩點原因有關。

2.4.4.3 廠商分布情況

因為我們發現的雙棧地址幾乎都是 MAC 地址嵌入型，所以可以先解析 IPv6 地址中的 MAC，再通過 MAC 地址的廠商 ID 號，就可以查詢到相關的廠商信息。對 MAC 地址做去重處理後，共有 11,606個設備，具體的廠商分布情況如圖 2.19 所示，幾乎都是物聯網廠商的設備，其中物聯網廠商 A 的暴露數量最多。

圖2.19  發現的雙棧資產廠商分布情況

2.4.4.4 IPv6 資產變化情況分析

2018 物聯網安全年報中，我們已經闡述了國內 IPv4 物聯網資產變化情況，所以藉助上節中發現的物聯網資產，接下來我們看看 IPv6 資產變化情況。因為 IPv6 嵌入的 MAC 地址是可以確定其對應的唯一設備，所以我們就可以知道一個資產的網絡地址是否變化過。對多輪國內的測繪結果，從得到數據初步來看，同一物聯網設備對應 IPv6 地址也是變化的，並且同一個設備雙棧的 IPv4 和 IPv6 的地址對應關係並不穩定，兩個地址均變化、兩個地址均不變、只有一個變化的情況都有。具體對應的變化關係，抽取了一些例子，如表 2.1 、表 2.2 、表 2.3 和表 2.4 。

表2.1  IPv4 和 IPv6 地址均不變

表2.2  IPv4 地址不變，IPv6 地址變化

表2.3  IPv4 地址變化，IPv6 地址不變

表2.4  IPv4 和 IPv6 地址均變化

我們對國內獲取的多輪雙棧資產，通過 MAC 地址去重後，共得到 2927 個設備。統計 MAC 地址與IPv6 地址的對應關係後，發現有將近 90%（2,633 個）設備的 IPv6 地址發生過變化。為了進一步了解資產變化情況，我們又抽取存活的 1,934 個 IPv6 物聯網資產，並且每天測繪一遍，對這些資產進行存活性統計（結果如圖 2.20 ），第一天有 1,934 個資產地址存活，第二天剩 1,331 個資產地址存活，到第五天就僅剩 42 個資產地址存活，約佔第一天存活的 2%。從獲取到的 IPv6 物聯網資產存活情況來看，至少通過 UPnP 發現的雙棧的物聯網資產 IPv6 網絡地址是在變化的。似乎這個發現和我們之前的認知是不太一樣的，即使 IPv6 地址充足，運營商或者設備本身也可能會採用動態地址分配的策略。

圖2.20  IPv6 物聯網資產存活性測繪（抽樣）

2.5 小結

本章首先介紹了 2019 年國內、新加坡和日本的 IPv4 物聯網資產的實際暴露情況，接著又介紹了部分的IPv6地址集中的物聯網資產暴露情況。其中，臺灣省的物聯網IPv4和IPv6資產暴露數量都是最多的。接著又介紹了一些 IPv6 物聯網資產的發現方法，利用地址分布特性從 IPv6 地址集中測繪的方法，能大大縮小測繪的範圍，使得 IPv6 測繪變得相對可行，但其缺點也比較明顯：不但需要提供存活地址或網段，而且這種方法並不能發現無規律的地址；當然還有一些其他的方式，比如 DNS 反向映射獲取、公網流量獲取、抽樣測繪等方法等。雖然 IPv6 地址測繪目前還不完美，但可考慮結合主動測繪和被動流量獲取等多種方法，通過持續運營，不斷積累存活的 IPv6 資產。

隨著物聯網應用的蓬勃發展，IPv6 普及已成必然趨勢。面向 IPv6 的網絡攻擊也定會隨之而來，IPv6 網絡地址和服務準確的測繪是物聯網資產信息收集和脆弱性發現的前提和手段，對於後續的物聯網安全具有著重要的意義。

3、物聯網威脅分析—漏洞篇

3.1 引言

本章將從漏洞利用角度對物聯網威脅進行分析。首先，我們分析了 NVD 和 Exploit-DB 中的物聯網年度漏洞及利用變化趨勢；之後統計了綠盟威脅捕獲系統捕獲到的物聯網漏洞利用的整體情況；最後，選取了幾個有代表性的漏洞利用進行介紹。

3.2 物聯網漏洞及利用情況

我們推測， 針對物聯網設備的攻擊與網際網路中公開的漏洞及 PoC 是緊密相關的，本節，我們統計了 NVD 公開的漏洞庫和 Exploit-DB 公開的漏洞利用，以分析歷年物聯網設備漏洞的變化趨勢。另外，也對物聯網終端的固件進行了風險分析。

觀察 3：從網際網路公開的漏洞看，物聯網設備的漏洞沒有很明顯的變化趨勢，與針對物聯網設備的攻擊沒有強相關。針對物聯網設備的利用數量比較穩定，但佔總利用的比例有所提升。

3.2.1 NVD 漏洞情況

我們統計了 2002 年至 2019 年 10 月，NVD 上漏洞總量以及物聯網漏洞數量的變化情況，如圖 3.1所示。我們發現，漏洞總量呈一定的上升趨勢，但針對物聯網設備的漏洞，沒有明顯的增長趨勢，維持在每年 2000 個漏洞的範圍之內。2019 年由於僅統計了前 10 個月的數據，所以漏洞數量較少。另外從物聯網漏洞佔漏洞總量的百分比來看，除 2006 年和 2007 年外，物聯網漏洞在漏洞總量的佔比並沒有明顯的趨勢，在 10%-15% 之間波動。

圖3.1  2002 年至 2019 年 NVD 漏洞數量趨勢

我們可以得出以下結論，從網際網路公開的漏洞看，物聯網設備的漏洞數沒有很明顯的變化趨勢，與針對物聯網設備的攻擊沒有強相關。

3.2.2 Exploit-DB 的 PoC 情況

通常，獲得 CVE 編號的漏洞並不等同於該漏洞具有價值，甚至於該漏洞是否可利用都需要一定的考證。對於物聯網設備的攻擊者，我們推測其更關注於可用的漏洞證明，即漏洞的 PoC。為了驗證我們的觀點，我們統計了 Exploit-DB 上的漏洞利用的趨勢，如圖 3.2 所示。

圖3.2  1990 年至 2019 年 Exploit-DB 的漏洞利用數量趨勢

從漏洞利用總量上看，1997 年至 2010 年，漏洞利用的數量呈上升趨勢，峰值達到接近 5000 個漏洞。但 2010 年之後，漏洞利用的數量又一定的回落，在 1000-2500 之間波動，從大環境的角度看，漏洞利用在近幾年呈現放緩的趨勢。

但不同於漏洞利用總量在 2010 年後有所減少，物聯網漏洞利用的數量從 1997 年開始到 2018 年，總體呈增長的大趨勢，且在 2013 年之後明顯增多。說明針對物聯網設備的漏洞利用從總體上看呈現增長趨勢。

最後，1997 年至 2012 年，物聯網漏洞利用在漏洞利用總量中的佔比存在波動的情況，但佔比均在6% 以下。但 2013 年之後，物聯網漏洞利用在漏洞利用總量中的佔比明細提升，峰值達到 15.75%。

雖然漏洞利用總量波動較大，但物聯網漏洞利用無論是數量還是佔比，總體上均呈上升趨勢，與近年來針對物聯網設備攻擊趨勢的上升一致。

3.2.3 物聯網終端固件風險分析

我們對現網數據中各大智能終端生產廠家終端固件進行了分析，設備類型包括但不限於如下種類：AI 音箱、路由器、無線通訊設備、智能體脂秤、攝像頭等。

為確保數據真實性，測試中使用的固件安全檢測標準基於固件文件系統中第三方組件的風險程度進行評測。

3.2.3.1 總體情況

對於固件安全總體的統計，我們對2033個固件進行了分析，其中高危固件1365個，中危固件1121個，相當於 70% 以上的固件為中高危以上的風險等級。如圖 3.3 所示。

圖3.3  固件總體風險監測結果

說明：上述數據僅針對靜態分析下的第三方組件 CVE 漏洞，並不包括終端動態檢測結果以及代碼邏輯漏洞等數據。

3.2.3.2 高危組件分析

大多數固件廠家對於物聯網智能終端設備所調用的第三方組件的漏洞甚至是作業系統內核漏洞並不會及時追蹤修復，這就導致了一旦有攻擊者進入智能終端系統內部，智能終端就會很快「淪陷」，成為任攻擊者宰割的肥羊，毫無還手之力。而此時，消費者的個人信息安全也完全得不到保障。

以廠商為單位，分別分析了各個固件中的組件，並列出了高危組件 Top 4，對於不同終端類型的物聯網設備必然，會有不同類型的第三方組件，因此以下數據僅作參考。如圖 3.4 所示。

圖3.4  高危組件 Top 4

3.2.3.3 不安全的配置分析

不安全的固件配置簡直就是給攻擊者送上的開門鑰匙，放眼大多數物聯網智能終端，弱密碼、弱口令、甚至說無需口令校驗的狀態，比比皆是。不管是密碼明文存儲，或者是極易爆破的弱密碼，這些都能在固件檢測中初見端倪。

例如：大多數在官網用於下載的升級包中不會有相關密碼證書的配置文件，但從運行的物聯網終端設備中提取的固件裡一定會有這些文件。

3.2.3.4 小結

通過物聯網終端固件測試結果來看，可以看到物聯網終端固件的風險係數佔比很高，而且很多的固件安全問題是在升級過程中產生的，於是固件防降級機制在固件安全中就非常重要了，可以減少固件被攻擊的事件發生。

3.3 物聯網漏洞利用整體情況

觀點 3：我們共捕獲到 30 餘種對於物聯網漏洞的利用行為，其中以遠程命令執行類漏洞居多。雖然每年都會有數百到數千個不等的物聯網漏洞被公開，但是真正能夠造成大範圍影響的漏洞並不多。攻擊者偏向於對暴露數量較多的設備（路由器和視頻監控設備）進行攻擊，從而擴大其影響範圍。

通過綠盟威脅捕獲系統，我們對全球物聯網漏洞利用情況進行了分析。下面的數據來源於2019.5.6~2019.11.6 的捕獲日誌。

我們共捕獲到 30 餘種對於物聯網漏洞的利用行為，其中以遠程命令執行類漏洞居多。這也說明了，從全網物聯網威脅的角度來講，雖然每年都會有幾百到幾千不等的物聯網漏洞被公開出來，但是真正能夠造成大範圍影響的並不多。我們將一天來自同一個源 IP 的日誌歸納為一次攻擊事件，表 3.1 是我們按照攻擊 IP 去重統計之後得到的物聯網漏洞利用 Top10 列表，按數量從多到少排序。從中可以看出攻擊者主要在對路由器和視頻監控設備進行漏洞利用，這也與網際網路上暴露的物聯網設備以路由器和視頻監控設備為主相一致，說明攻擊者偏向於對暴露數量較多的設備進行攻擊，從而擴大其影響範圍。這些漏洞的 PoC 大部分都可以在 Exploit-DB 中找到，個別不在其中的也可以在 GitHub 中找到。PoC 的公開大大降低了攻擊者構造攻擊載荷的成本。

表3.1  物聯網漏洞利用數量 Top10

對捕獲日誌中的源 IP 去重之後，我們發現進行過漏洞利用的 IP 約佔所有 IP 的 35%。如圖 3.5 所示，從去重源 IP 的按天變化數據來看，攻擊者在五月底六月初和七月相對活躍一些。

圖3.5  綠盟威脅捕獲系統捕獲的漏洞利用事件變化趨勢

我們也對去重之後的源 IP 的國家分布進行了分析，從圖 3.6 中可以看出，曾捕獲到漏洞利用行為的中國 IP 數量比其他國家高了一個量級，其它數量比較多的惡意 IP 位於巴西、美國、俄羅斯等。發起過漏洞利用行為的國內 IP 約 2 萬個，其中 85% 位於臺灣省，這些攻擊行為中近九成針對同一個 UPnP 漏洞 CVE-2017-17215。針對 UPnP 相關漏洞的惡意行為分析我們將在 4.4.3 節詳細分析。

圖3.6  綠盟威脅捕獲系統物聯網類日誌源 IP 的國家分布情況

我們捕獲到的漏洞利用行為的 payload 中，絕大多數會包含一段指令，攻擊者會在這段指令中調用系統命令（如 wget、tftp）去下載包含惡意行為的程序並執行。從攻擊者投遞的 payload 中，我們能夠提取出樣本下載地址。保存這些樣本的伺服器的國家分布如圖 3.7 所示。樣本伺服器位於美國的最多，佔 15.9%。

圖3.7  物聯網類攻擊樣本下載源 IP 所在國家 Top 10

3.4 重點物聯網漏洞利用情況

本節我們選取了兩個漏洞進行分析。UPnP 相關的漏洞我們將在 4.4.3 進行分析，除去 UPnP 相關漏洞外，被利用最多的是 Eir D1000 路由器的一個漏洞（CVE-2016-10372），我們將對其進行分析。另外磊科路由器後門漏洞在剛披露時，影響嚴重，我們也將對其進行分析。

3.4.1 Eir D1000 路由器漏洞利用情況

3.4.1.1 簡介

Eir 是愛爾蘭的一家公司，NVD 中只記錄了一個漏洞，漏洞編號為 CVE-2016-10372，針對 D1000這款路由器，由於在軟體實現中沒有正確地限制 TR-064 協議，遠程攻擊者可以通過 7547 埠執行任意命令。

3.4.1.2 Eir D1000 路由器漏洞利用情況分析

在本小節中，我們將藉助綠盟威脅捕獲系統捕獲的數據來說明 Eir D1000 路由器相關的威脅態勢。下面我們將分別從攻擊源、攻擊事件、樣本下載地址三個維度對蜜罐捕獲的日誌進行分析。

觀察 4：Eir D1000 路由器的漏洞（CVE-2016-10372）利用情況為，23% 的攻擊源位於巴西，10月攻擊者變得活躍起來，樣本下載地址的國家分布與攻擊源的分布大致相同。

● 攻擊源分析

對捕獲日誌中的源 IP 去重之後，發現共有約 900 個 IP 進行過漏洞利用。圖 3.8 是 Eir D1000 路由器漏洞利用的日誌源 IP 的國家分布情況，從中可以看出，巴西最多，佔比達到了 23%。

圖3.8  Eir D1000 路由器漏洞利用的日誌源 IP 的國家分布情況

● 攻擊事件分析

我們對 Eir D1000 路由器日誌數據中的攻擊事件進行了分析，如圖 3.9 所示，這裡我們將一天內一個獨立 IP 的日誌看作一次事件，事件的數量我們將以月為單位進行呈現。從圖中可以看出，從 10 月開始，漏洞利用變得活躍起來。

圖3.9  Eir D1000 路由器相關的事件分布情況

● 樣本下載地址分析

更進一步，我們對樣本下載地址進行了分析，經過去重，得到有效樣本下載地址 860 個。圖 3.10是 Eir D1000 路由器相關漏洞利用的樣本下載地址的國家分布情況。從圖中可以看出巴西和伊朗佔比最大，與攻擊源 IP 的分布大致相同。我們猜測攻擊者從這些國家發動攻擊，並利用失陷設備對惡意樣本進行進一步傳播。

圖3.10  Eir D1000 路由器相關漏洞利用的樣本下載地址的國家分布情況

3.4.2 磊科路由器後門利用情況

3.4.2.1 簡介

磊科路由器後門是由趨勢科技的安全研究人員在 2014 年發現的，當時給出的暴露數量在 200萬臺以上。在 5 年後的今天，我們的威脅捕獲系統每天依舊可以捕獲到對於該漏洞的利用。因此，我們將在本節對其暴露情況和漏洞利用情況進行分析。

磊科路由器的後門埠是 53413，對外提供 UDP 服務，後門採用硬編碼的密碼，因此，當存在問題的設備暴露在網際網路上時，攻擊者可以輕易進行登錄並在該設備上執行任意代碼。

觀察 5：相比於 5 年前，磊科路由器所面臨的後門利用風險已經大幅降低，當前具有後門的磊科路由器暴露數量不足三千臺，但依舊有攻擊者在對其進行漏洞利用。

3.4.2.2 具有後門的磊科路由器暴露情況分析

為了了解當前全球還有多少易受感染的設備，我們對暴露在網際網路上的具有後門的磊科路由器進行了測繪。

如無特殊說明，本節所提到的數據為全球單輪次測繪數據（2019 年 8 月）。

具有後門的磊科路由器暴露數量最多的國家是中國，數量接近3000臺，其他國家暴露數量相對較少。

測繪數據顯示，具有後門的磊科路由器的暴露數量相比 2014 年該後門被發現時的設備暴露數量，已經少了很多（二百萬→三千）。圖 3.11 是具有後門的磊科路由器的國家分布情況，從中可以看出，雖然中國的暴露數量佔比達到了 89%，但是從實際暴露數量來看，也不算多。中國暴露數量相對較多的原因我們猜測是磊科為中國廠商，市場以國內為主。磊科路由器掃描項目給出數據為 1028 臺（2019年 10 月 18 日掃描），猜測暴露數量的差異可能與掃描 IP 的地理位置有關，具體差異原因我們並未深究。

同時，我們也對其進行了登錄驗證，發現所有的路由器均可登錄成功。至於登錄成功之後是否能夠進行命令執行，我們並未進行驗證。

圖3.11  具有後門的磊科路由器的國家分布情況

3.4.2.3 磊科路由器後門利用情況分析

在本小節中，我們將藉助綠盟威脅捕獲系統捕獲的數據來說明當前磊科路由器後門相關的威脅態勢。數據來源於從 2019.3.21 至 2019.10.30 的日誌數據。下面我們將分別從攻擊源、攻擊事件、樣本三個維度對蜜罐捕獲的日誌進行分析。

● 攻擊源分析

對蜜罐日誌中的源 IP 去重之後，發現共有 348 個獨立的 IP 連接過蜜罐，其中 229 個 IP 進行過後門利用。圖 3.12 是磊科路由器後門蜜罐的日誌源 IP 的國家分布情況，從進行過後門利用的 IP 的國家分布情況來看，美國最多，佔比達到了 51%。

圖3.12  磊科路由器後門蜜罐的日誌源 IP 的國家分布情況

● 攻擊事件分析

我們對磊科路由器後門蜜罐日誌數據中的攻擊事件進行了分析，如圖 3.13 所示，這裡我們將一天內一個獨立 IP 的日誌看作一次事件，事件的數量我們將以天為單位進行呈現。從圖中可以看出，除了最初部署的一段時間事件數量相對較少外，之後的每日事件數量、後門利用事件數量並沒有出現過太大的波動。

圖3.13  磊科路由器後門蜜罐捕獲的事件分布情況

● 樣本分析

更進一步，我們對樣本下載地址和 C&C 進行了分析，經過去重，得到有效樣本下載地址 31 個，C&C 29 個。通過對樣本下載地址和 C&C 進行關聯分析，發現絕對多數的樣本下載地址和 C&C 是相同的。因此，下面僅對樣本下載地址的國家分布進行分析。從圖 3.14 中可以看出美國和荷蘭的佔比最大，這也與進行過後門利用的 IP 的國家分布保持一致。

說明：樣本數據為 2019 年 9 月和 10 月兩個月的數據。

圖3.14  磊科路由器後門蜜罐捕獲的樣本下載地址的國家分布情況

通過對樣本下載的腳本進行分析，我們發現其一般會支持多種架構，在我們給出的示例（圖 3.15 ）中，該攻擊團夥的樣本支持了 12 種架構，包括 MIPS、ARM、x86、PowerPC 等，而且樣本下載腳本也不會區分被攻破的設備到底是什麼架構，而是均進行下載，並嘗試運行。

圖3.15  磊科路由器後門蜜罐捕獲的樣本下載腳本示例

3.5 小結

本章分析了漏洞利用與物聯網威脅的關係，首先通過分析 NVD 資料庫中歷年漏洞總量及物聯網漏洞數量的變化趨勢，發現與利用物聯網設備日益泛濫的攻擊趨勢不同，物聯網漏洞的數量沒有明顯的上升趨勢，其在漏洞總量的佔比在 10%-15% 之間波動，也沒有明顯的上升趨勢。我們推測與漏洞本身相比，攻擊者更關注有價值的漏洞利用，於是分析了 Exploit-DB 中利用的變化趨勢，發現物聯網漏洞利用無論是數量還是佔比，總體上均呈上升趨勢。結合綠盟威脅捕獲系統捕獲的針對物聯網設備的攻擊，我們發現大部分攻擊手法均可在 Exploit-DB 上找到相關利用，我們推測，網際網路中公開的利用，為攻擊者提供了豐富的武器庫，一定程度上刺激了攻擊者將殭屍主機的目標轉向物聯網設備。

在綠盟威脅捕獲系統中，我們共捕獲到 30 餘種對於物聯網漏洞的利用行為，其中以遠程命令執行類漏洞居多。這也說明了，從全網物聯網威脅的角度來講，雖然每年都會有幾百到幾千不等的物聯網漏洞被公開出來，但是真正能夠造成大範圍影響的漏洞並不多。另外我們發現，已經捕獲的漏洞利用所對應目標設備以路由器和視頻監控設備為主，這也與網際網路上暴露的物聯網設備以路由器和視頻監控設備為主相一致，說明攻擊者偏向於對暴露數量較多的設備進行攻擊，從而擴大其影響範圍。

4、物聯網威脅分析—協議篇

4.1 引言

本章將從協議角度對物聯網威脅進行分析。在綠盟威脅捕獲系統的數據中，Telnet 服務（埠 23）是被攻擊者攻擊最多的，因此，我們首先對利用 Telnet 協議的攻擊情況進行了分析；WS-Discovery 反射攻擊是 2019 年新出現的一種 DDoS 反射攻擊類型，在 4.3 節中我們對其進行了介紹；在去年的物聯網安全年報中我們已經對 UPnP 進行了分析，今年我們對其數據進行了更新，並加入了一些新的發現。

4.2 針對 Telnet 協議的威脅分析

觀點 4：物聯網設備是 Telnet 弱口令爆破的重點目標，其中攝像頭和路由器是重災區。與此同時，隨著虛擬貨幣的價格回升，攻擊者更傾向於使用爆破控制的設備投向犯罪成本相對較低但收益更穩定的挖礦活動中，將他們所控制的網絡資源快速變現。

Telnet 弱口令爆破是 Mirai 物聯網殭屍網絡最常用的攻擊手段之一。本小節將從綠盟威脅捕獲系統捕獲到的 Telnet 協議相關數據（來源於 2019 年 3 月至 2019 年 10 月共 7 個月的日誌數據）出發，分析攻擊源的活躍情況和地理位置分布情況，然後根據攻擊源的開放埠情況進一步分析這些攻擊源的設備類型，最後通過爆破弱口令分析研究這些設備成為受控失陷主機的原因。

4.2.1 攻擊源活躍情況

日誌數據記錄了所有利用 Telnet 協議的惡意行為以及相關的攻擊源 IP 地址，每一個 IP 地址代表一個攻擊源。通過統計分析，我們共發現攻擊源 118,527 個。圖 4.1 為 7 個月以來攻擊源的活躍情況。如圖所示，2019 年以來 Telnet 的利用情況逐月增加，8 月活躍的攻擊源最多，數量高達 61,526 個，其中弱口令探測行為有 53,347 個；另外，6 月樣本下載的行為最多，高達 4,118 個。整體來看，後半年攻擊源的數量有所減少。

圖4.1  攻擊源活躍情況

4.2.2 攻擊源國家分布

從地理位置維度對攻擊源進行分析，得到攻擊源所在的國家 Top10，如圖 4.2 所示，可見處於中國和美國的攻擊源最多。

圖4.2  攻擊源國家 Top10 分布情況

4.2.3 攻擊源開放埠分布

暴露在網際網路上的大多數物聯網設備都會開放 22,23 等常見埠對外提供服務，同時這也增大了它們被攻擊的風險。因此我們對攻擊源的開放埠情況進行分析，圖 4.3 展示了上文所述攻擊源的埠分布，攻擊源開放的埠前十名為：22、80、23、443、21、53、554、8080、7547、3306。開放 22 埠和 23 埠的攻擊源佔所有攻擊源的 55%。由此可以推斷，大部分攻擊源極有可能都是被弱口令爆破後的受控失陷主機。

圖4.3  攻擊源開放埠 Top10

4.2.4 攻擊源設備類型分布

通過與綠盟威脅情報中心（NTI）中的資產情報數據相關聯，我們發現這些攻擊源有 29% 為物聯網設備。如圖 4.4 所示，主要設備類型是視頻監控設備和路由器，分別佔比 47% 和 42%。由此可見，視頻監控設備和路由器是最容易被攻擊源入侵控制的物聯網設備。

圖4.4  攻擊源設備類型分布

4.2.5 攻擊源爆破弱口令分析

弱口令 root-vizxv 曾被曝過可以直接登陸某安防監控設備後臺，弱口令 root-t0talc0ntr0l4! 是Control4 智能家居設備的默認憑證，弱口令 root-taZz@23495859 是 Mirai 變種「Asher」用來感染路由器最常用的弱口令之一。因此我們對攻擊源爆破時使用的弱口令進行統計分析，發現很多物聯網設備都是被爆破弱口令攻擊後成為受控失陷主機的。如表 4.1 爆破弱口令 Top10 所示，除了一些常見的弱口令外，上文提及到的物聯網設備相關弱口令都名列前茅。

表4.1  爆破弱口令 Top10

4.2.6 利用 Telnet 協議的攻擊行為分析

通過對大量利用 Telnet 協議的攻擊源入侵時的攻擊行為進行聚類，同時對與其相關的爆破弱口令列表和惡意樣本進行關聯性分析，我們發現了一個面向門羅幣挖礦的殭屍網絡，該殭屍網絡首先通過弱口令爆破入侵主機，以植入 RSA 公鑰或殭屍程序的方式獲取控制權限，然後使用下載器下載門羅幣挖礦病毒，並根據主機類型執行相應的腳本，最終實現惡意挖礦，將所控制的網絡資源變現。

據不完全統計，該殭屍網絡在 2019 年 7 月份最為活躍，所控制的肉雞總數量上萬臺，單日最高活躍肉雞數接近 600 臺，其中處於中國和美國的肉雞數最多，分別為 2119 臺和 1335 臺，開放 22 埠的肉雞數有 6681 臺，佔比接近所有肉雞的 65%。在已知的資產情報數據中，這些肉雞有 12% 為物聯網設備，主要設備類型是路由器和攝像頭。另外，該挖礦殭屍網絡最常用的爆破弱口令是 nproc-nproc。雖然目前從樣本伺服器上已經無法下載相關樣本，但是該殭屍網絡活動情況依然有小規模上升趨勢。

該挖礦殭屍網絡分析的完整版可參見《用區塊鏈掙錢，黑產也這麼想》。

4.3 針對 WS-Discovery 協議的威脅分析

本節對 WS-Discovery 反射攻擊進行了分析，關於 WS-Discovery 的介紹詳見第一章。

觀點 5：自 2019 年 2 月被百度安全研究人員披露以來，下半年利用 WS-Discovery 協議進行反射攻擊的事件明顯增多。我們捕獲的反射攻擊事件從 8 月中旬開始呈現上升趨勢，9 月份之後增長快速，需要引起安全廠商、服務提供商、運營商等相關機構足夠的重視。

4.3.1 WS-Discovery 暴露情況分析

為了精確刻畫 WS-Discovery 反射攻擊的情況，我們一方面對暴露在網際網路上的 WS-Discovery 服務進行了測繪，另一方面我們利用威脅捕獲系統對其進行了監測。如圖 4.5 所示。這兩方面的數據將分別在接下來兩節進行介紹。

觀察 6：全球有約 91 萬個 IP 開放了 WS-Discovery 服務，存在被利用進行 DDoS 攻擊的風險，其中有約 73 萬是視頻監控設備，約佔總量的 80%。

如無特殊說明，本節所提到的數據為全球單輪次測繪數據（2019 年 7 月），數據來自綠盟威脅情報中心（NTI）。

圖4.5  開放 WS-Discovery 服務的設備類型分布情況

圖 4.6 是開放 WS-Discovery 服務的設備國家分布情況，從中可以看出，開放 WS-Discovery 服務的設備暴露數量最多的五個國家依次是中國、越南、巴西、美國和韓國。

圖4.6  開放 WS-Discovery 服務的設備國家分布情況

約有 24% 的設備對於 WS-Discovery 的回覆報文的源埠是 3702 埠之外的其它埠（有一定隨機性），這對基於源埠過濾的傳統 DDoS 防護提出了新挑戰。

A10 Networks 公司的一份 WS-Discovery 安全研究報告提到，有約 46% 的設備會採用隨機埠進行回復。在我們的驗證數據中，約有 24% 的設備對於 WS-Discovery 的回覆報文的源埠並不是3702 埠。更進一步，我們發現，並不是所有的其他埠都是隨機的，也存在固定埠的情況（如1024 埠）。

正因為存在隨機回復埠的特點，WS-Discovery 反射攻擊的緩解機制存在非常大的挑戰。與其他反射攻擊緩解策略不同，簡單地添加阻斷源埠為 3702 規則並不能防護 WS-Discovery 反射攻擊，亟待研究其他有效的緩解機制。

4.3.2 WS-Discovery 反射攻擊分析

本節，我們將對綠盟威脅捕獲系統中的數據進行分析，研究當前 WS-Discovery 反射攻擊相關的威脅態勢，數據來源於從 2019.7.10 至 2019.9.21 共 74 天的日誌數據。下面我們將分別從攻擊手法、攻擊事件、受害者三個維度進行分析。

4.3.2.1 攻擊手法分析

下面，我們將從攻擊載荷的長度入手來分析攻擊者的攻擊手法。在博客中，我們還對攻擊流量的源埠的分布數量和受害者 IP 的網段分布進行了分析。

觀察 7：攻擊者在進行 WS-Discovery 反射攻擊時，通常不會採用合法的服務發現報文作為攻擊載荷，而是嘗試通過一些長度很短的載荷來進行攻擊。出現最多的是一個三個字節的攻擊載荷，約佔所有攻擊日誌數量的三分之二。該載荷所造成的反射攻擊的平均帶寬放大因子為 443。

我們對 WS-Discovery 反射攻擊日誌數據中的報文載荷進行了統計，如圖 4.7 所示，出於儘量不擴散攻擊報文的考慮，這裡我們按照出現的報文的長度對其命名，比如，一個攻擊報文的應用層長度為三字節，則將其命名為 payload3。可以看到，前五種攻擊載荷佔了所有攻擊數量的 99% 以上。我們還發現這五種載荷都不是合法的服務發現報文，最短的載荷只有 2 個字節。出現最多的是一個三個字節的載荷，約佔所有攻擊數量的三分之二。

圖4.7  蜜罐捕獲的 WS-Discovery 反射攻擊的 payload 佔比情況

我們對 payload3 進行了全網探測，發現並非所有的 WS-Discovery 服務都對這樣的載荷進行響應，有回應的 IP 數量為 28918 個。

圖 4.8 是對 payload3 有回應的設備的國家分布情況，從中可以看出，設備暴露數量最多的三個國家依次是美國、韓國和中國。我們也對這些設備的類型進行了統計，以視頻監控設備和印表機為主，其中視頻監控設備佔比為 75%。

我們對探測到的回覆報文的長度進行了分析，其長度從幾百到幾千字節不等，平均長度為1330位元組。由此可得平均帶寬放大因子（Bandwidth Amplification Factor，BAF）為 443。

圖4.8  對 payload3 有回應的設備的國家分布情況

放大因子我們採用 NDSS 2014 的論文 Amplification Hell: Revisiting Network Protocols for DDoS Abuse 上對於帶寬放大因子的定義，不包含 UDP 的報文頭。

4.3.2.2 攻擊事件分析

我們對綠盟威脅捕獲系統捕獲的攻擊事件進行了分析，如圖 4.9 所示，這裡我們將一天內一個獨立 IP 相關的事件看作一次攻擊事件，攻擊事件的數量我們將以天為單位進行呈現。直觀來看，WSDiscovery反射攻擊事件從 8 月中旬開始呈現上升趨勢，9 月份之後增長快速。這說明 WS-Discovery 反射攻擊已經逐漸開始被攻擊作為一種用於 DDoS 攻擊的常規武器，需要引起相關如安全廠商、服務提供商、運營商等機構足夠的重視。

圖4.9  WS-Discovery 反射攻擊事件變化情況

4.3.2.3 受害者分析

WS-Discovery 反射攻擊的受害者國家分布情況如圖 4.10 所示，我們觀察到共有 24 個國家和地區受到過攻擊。從圖中可以看出，中國是受害最嚴重的國家，其佔全部受害者IP的33%；排在第二位的是美國，佔比為 21%。

圖4.10  WS-Discovery 反射攻擊受害者的國家分布

4.4 針對 UPnP 協議的威脅分析

在去年的物聯網安全年報中我們已經對 UPnP 協議進行了分析，今年我們對數據進行了更新，並加入了一些新的發現，UPnP 相關基礎知識可參見去年的物聯網安全年報，本文不再贅述。

觀點 6：全球約 228 萬臺物聯網設備開放了 UPnP SSDP 服務（1900 埠），存在被利用進行DDoS 攻擊的風險，設備總量較去年減少約 22%。約 39 萬臺物聯網設備暴露的 UPnP 埠映射服務存在被濫用的可能，可被用於做代理或將內網服務暴露在外網。

4.4.1 UPnP 暴露情況分析

在去年研究的基礎上，我們今年對 UPnP 協議的暴露情況進行持續關注。如無特殊說明，本章中的統計數據基於全球單輪次的測繪（2019 年 10 月）。本節我們將對 SSDP 與 SOAP 服務的暴露情況進行分析，4.4.2 節將對 SOAP 服務中的埠映射表進行分析。

觀察 8：設備開放 SSDP 服務暴露數量最多的五個國家是中國、韓國、委內瑞拉、美國與日本，同時我們發現俄羅斯的暴露數量相比去年下降了 84%，推測俄羅斯的相關部門推動了對於 UPnP 的治理行動。

從國家分布來看，相比於去年的國家分布數據，大多數國家的暴露數量都有一定程度的減少，俄羅斯的暴露數量變化最為明顯，從去年的 40 萬下降到了 6 萬左右，我們暫未從網上搜到相關信息，但是數量的銳減讓我們有理由相信俄羅斯的相關部門推動了對於 UPnP 的治理行為。如圖 4.11 所示。

圖4.11  開放 SSDP 服務設備的國家分布情況

暴露 SSDP 服務的設備使用最多的 UPnP SDK 分別是 libupnp、miniupnp、AltiDLNA、Broadcom與 IGD。其中 libupnp 數量最多，佔比達到 53%，AltiDLNA 數量大幅增加，需引起關注。

與去年的數據相比，我們發現，UPnP SDK 分布情況有兩個變化較大的地方。一是 Server 欄位中標記為 IGD 的設備數量從約 29 萬下降到了 10 萬，且絕大部分設備報告的 SOAP 服務埠都無法訪問。二是數量變化較大的設備類型是 AltiDLNA，去年的暴露數量不足 2000 臺，今年卻暴露了近 20 萬臺，經分析，這些設備是韓國某廠商推出的智能音箱，且使用了 Alticast 公司提供的多媒體解決方案。如圖 4.12 所示。

圖4.12  UPnP SDK 類型分布

觀察 9：SOAP 服務可訪問的設備佔 UPnP 設備總量的 46.9%，這些設備中，61% 的設備存在中危及以上的漏洞，攻擊者可以通過漏洞獲取對這些設備的完全控制權，或利用漏洞發動攻擊使設備崩潰。

在去年的報告中，我們僅通過將已知的漏洞信息與 UPnP SDK 版本號相關聯，即發現 69.8% 的設備存在漏洞，按照同樣的方式統計，在今年的數據中，這一數字變成了 61%。

物聯網設備的UPnP SDK存在多樣性，我們以每種SDK及採用這些設備的廠商進行分類，通過圖 4.13我們能夠看到，對於一種部署 SDK 的設備而言，要麼就大部分都能訪問，要麼就大部分都不能訪問。數量最多的 libupnp 由於採用它的廠商較多，所以情況較為複雜。對採用 libupnp 的設備進行統計分析後我們發現，採用 libupnp 的廠商很多，且不同廠商傾向於使用不同的固定埠。某攝像頭廠商大量採用 80 埠作為其 SOAP 服務埠，某路由器廠商的多數設備使用 49152 或 49154 埠。還有很多廠商並未修改 SOAP 消息中 manufacturer 屬性，使用默認的「Linux UPnP IGD Project」，包括這些，還有很多 SOAP 埠無法訪問的設備我們無法獲取其設備型號，因此無法確切分類其所屬廠商。

圖4.13  UPnP 設備各 SDK 設備可訪問性統計

4.4.2 UPnP 埠映射服務威脅分析

我們對全網設備的 UPnP 埠映射表進行了採集，本節將對其進行分析。

4.4.2.1 總體情況

去年的報告中，我們重點關注了影響最廣、惡意特徵最明顯的四類惡意埠映射類型，包括主要行為是對內網進行入侵的 EternalSilence、IntraScan、NodeDoS，和對外網進行代理的 MoniProxy。今年，我們也關注了其餘存在惡意埠映射類型，以期通過分析展示受惡意埠映射感染的設備的全貌。

在開放埠映射的約 39 萬臺設備中，總共有 6.3 萬臺設備中發現了一種以上的惡意行為，部分設備受到多種惡意行為入侵，其中約 4.5 萬臺設備中發現了內網入侵行為，約 3 萬臺設備中發現了惡意代理行為。圖 4.14 列出了設備量最多的幾個國家的設備數量對比與惡意行為的感染佔比。中國的服務暴露總量和受感染的設備數量均居首位。

我們認為，如果我們能從一個設備的埠映射表中查詢到 1 條以上惡意埠映射記錄，則這個設備的埠映射服務很大概率可以被其他攻擊者利用。因此，可以藉助一輪掃描數據得出這樣的結論，全球有約 6.3 萬臺設備是受埠映射感染的高危設備，但因為埠映射的特性，假設平均一臺暴露設備對應的內網有 20 臺設備的話，那麼潛在受影響的設備可達百萬臺。

圖4.14  暴露埠映射設備惡意行為感染情況國家分布

全網暴露 UPnP 埠映射服務的設備中，共包含了約 312 萬條映射條目，其中包含代理與掃描行為的惡意映射條目約 240 萬條，佔全部映射條目的 77%，埠映射服務濫用情況不容樂觀。從全網設備的埠映射表中，我們發現了約 8 萬種不同的映射描述（description 欄位）。由於種類眾多，我們很難全部辨識，因此我們聚焦在映射條目總量多的惡意行為上。在映射條目最多的 15 種映射行為中，3種行為是我們已知的惡意行為，6 種是可疑的代理探測、內網掃描行為，如表 4.2 所示。除了上述惡意行為之外，我們也探測到部分非惡意應用的合理埠映射行為，如部分映射描述為miniupnpd、wechat（聊天應用）、libtorrent（P2P 下載）、HCDN（流媒體應用）、WhatsApp（聊天應用）的埠映射行為，從映射目的 IP、目的埠與傳輸協議等維度，我們能判定它們大概率是安全的。這些正常應用的映射數量我們也在此列出。

我們也簡要與去年的數據做了一個對比，去年我們僅分析了四類惡意埠映射類型，受感染設備總量約 4.4 萬臺，但因為與今年的統計口徑不太一致，因此無法在總量分布（如國家）上進行對比。對於特定的惡意埠映射類型，我們發現去年提到的四類的受感染 IP 數均出現了一定程度的下降，EternalSilence 由 4 萬下降到了 1.7 萬，MoniProxy 由 7 千下降到了 1 千。我們猜測多方面的原因可能導致數量的下降，一是埠映射條目租期到期後的自動刪除，二是設備重啟之後埠映射條目清空。考慮到設備 IP 可能會變化，作為攻擊者，需要持續對全網進行掃描才能維護一個相對完整的受感染的設備的列表，一旦攻擊者不夠活躍，隨著時間的推移，受感染 IP 數量就會出現一定程度的下降。

表4.2  關聯映射條目最多的 15 種埠映射行為的定性、IP 數量與映射條目數量

4.4.2.2 利用 UPnP 埠映射服務的內網入侵行為

根據 UPnP 埠映射服務的設計用途，我們認為埠映射服務的正常行為是為內網前臺應用開啟臨時公網埠暴露服務。前臺應用指用戶主動啟動、使用後關閉的應用服務如 P2P 下載、VoIP 通訊、遊戲聯機服務等，而非長期後臺運行的守護進程如 SSH、FTP、HTTP 等服務 12。除正常行為以外的其他行為都是對埠映射服務的濫用或惡意入侵。

我們定義一個映射條目，若這個條目指定的目的地址（internal_ip 欄位）位於 RFC1918 私有 IP 範圍、目的埠（internal_port 欄位）小於 10000，則這個映射條目是一個潛在內網入侵行為。一個內網入侵行為試圖將 IGD 設備內網中的應用服務映射到設備的外網埠（external_port 欄位）上，從而使內網服務面臨入侵風險。

在 8.6 萬臺發現埠映射條目的物聯網設備中，52.3% 設備上能夠觀測到可疑的內網入侵行為，被暴露頻次最多的目的埠包括 135、445、80、6881、139 等。

我們將目的埠小於 10000 的映射行為定義為惡意行為。從定義上來看，5 位以上的高位埠屬於臨時埠，雖然各個標準組織、作業系統對臨時埠的範圍定義都略有不同，但從經驗上來看，用戶或運維人員會將大部分應用服務部署在 10000 埠以下的低埠。

我們觀察到的內網入侵行為針對的目標埠大部分集中在 135 與 445，合計佔內網入侵行為的60%，其餘部分針對常用應用服務埠的探測均有出現，但出現相對較少。如圖 4.15 所示。

圖4.15  可疑內網掃描行為的目的埠佔比

我們按埠映射條目數據中的映射描述（description 欄位）進行統計，並將每一種映射行為的目的埠與 SOAP 服務返回的設備廠商信息（manufacturer）進行統計，結果如表 4.3 所示。這裡我們只列出每種映射行為所訪問的目的埠與廠商信息的前三名，並隱去了數量與比例。

從每種映射行為所對應的目的埠與廠商的分布來看，大部分攻擊者所針對的目標設備、目標服務都較為明確。如 EternalSilence（映射描述為「galleta silenciosa」與變種「galleta_silenciosa」）針對目的埠 135、445 的映射條目數量加起來佔此類映射行為所有條目的 92%，映射描述為 Ftp 的映射行為針對 20、21 埠的條目數量佔此類行為所有條目的 99.97%。映射描述為 miniupnpd 的映射行為針對廠商 Tenda 的入侵行為佔此類行為所有條目的 86.17%。

表4.3  可疑內網掃描行為的映射描述、數量、Top3 目的埠與受感染設備廠商

我們發現有一些攻擊者只針對特定埠的 SOAP 服務進行攻擊。表 4.4 中列舉了一些惡意行為，每種惡意行為的受害者IP數量在30至4000不等，這些惡意行為大部分目標的SOAP服務都在同一埠上，同一埠佔比在 80% 以上甚至接近 100%，且設備廠商也趨於相同。

表4.4  掃描固定 SOAP 埠的惡意行為掃描的目的埠、設備廠商、SOAP 埠佔比

4.4.2.3 利用 UPnP 埠映射服務的惡意代理行為

我們定義一個映射條目，若這個條目指定的目的地址（internal_ip 欄位）位於公網 IP 範圍，則這個映射條目是一個潛在惡意代理行為。一個惡意代理行為試圖將受害者設備作為跳板，將設備的某個外網埠（external_port 欄位）反向代理到其他伺服器，從而使攻擊者能夠偽裝成受害者設備對伺服器發送惡意請求。

在 8.6 萬臺發現埠映射條目的物聯網設備中，35.2% 設備上能夠觀測到可疑的惡意代理行為。最常見的惡意代理行為包括架設 Web 代理、通過 SMTP 服務發送垃圾郵件，影響用戶與所在運營商的 IP信譽。

UPnP 提供的埠映射建立請求有三個關鍵欄位，外網埠（external_port）、目的 IP（internal_ip）、目的埠（internal_port），在實現上，會將來自外網埠的數據轉發到目的（內網）IP 的目的埠上。但是某些 UPnP SDK 的實現沒有對目的 IP 的範圍進行嚴格限制，導致這些設備實際上可以將來自外網埠的數據轉發到另一臺外網伺服器上，這就造成了攻擊者可以用受害者設備的 IP 去發送請求，從而規避某些限制，進行如批量註冊帳號、群發垃圾郵件等操作。在實際環境中，攻擊者也是傾向於利用這些設備訪問 Web 網站（大多數是 Google）和 25 埠的 SMTP。今年我們新發現的幾種利用行為如 sync 開頭的與 miniupnpd 相關的利用行為也是如此。

發送惡意代理行為的漏洞利用者有一部分表現出來了對特定類型設備的偏好，如映射描述以 sync開頭的攻擊行為，91.62% 的攻擊嘗試都指向了 49125 埠，MoniProxy 全部的請求都針對 2048 埠的 SOAP 服務。如表 4.5 所示。

表4.5  可疑惡意代理行為的映射描述、數量、入侵的 SOAP 埠與受感染設備廠商分布

對於映射數量最多的幾種代理行為，過濾掉一些目的 IP 明顯不能訪問的條目如組播 IP、空路由 IP之後，我們關注它們利用這些物聯網設備進行反向代理之後所進行的操作。表 4.6 列舉了惡意代理行為Top10 中包含明顯惡意特徵的 6 種映射行為。

其中，映射條目中描述為「sync- 數字」的惡意行為有兩個變種，映射數量較多（約 85 萬）的一種將受害者設備的埠映射到 Google 伺服器的 80 埠，映射數量較少（約 52 萬）的一種除了映射到Google 伺服器的 Web 埠之外，還有約 20% 的映射條目指向了微軟 Outlook 郵件服務的 25 埠，這些映射條目存在約 7000 個獨立 IP 上，攻擊者將受害者設備作為跳板發送垃圾郵件，不僅會影響用戶所使用的 IP 及其運營商的 IP 信譽評級，也對郵件服務商的垃圾郵件防控提出了挑戰。

表4.6  可疑惡意代理行為的映射描述、主要行為和目的埠、目的 IP 佔比

除此之外，其他的惡意代理行為對不同的網站進行反向代理，但基本思路都是將受害者設備作為一個 HTTP 代理伺服器，在不同業務場景中繞過基於源 IP 的風控策略，這也是 UPnP 埠映射服務對於攻擊者的價值所在。

4.4.3 針對 UPnP 漏洞的惡意行為分析

我們共捕獲到 4 種針對 UPnP 漏洞的利用行為，如表 4.7 所示。從中可以看出，這些漏洞均為遠程命令執行類漏洞。另外我們也發現，當漏洞出現在特定埠時，攻擊者一般不會經過 UPnP 的發現階段，而是會選擇直接對該特定埠進行攻擊。

表4.7  UPnP 漏洞利用情況（按源 IP 去重排序）

對 UPnP 日誌中的源 IP 去重之後，我們發現對 UPnP 漏洞進行過利用的 IP 約佔所有 IP 的 29.6%。我們對去重之後的源 IP 的國家分布進行了分析，從圖 4.16 中可以看出， 位於中國的攻擊源最多。更進一步我們發現，來自中國攻擊行為的 90% 位於自臺灣省，中國大陸地區的攻擊源量級與俄羅斯、美國等國家的量級相當。結合圖 2.2 中 2019 年國內 IPv4 資產地區分布情況，我們有如下推測，臺灣省物聯網資產暴露數量多，惡意軟體在這些設備間廣泛傳播，部分失陷設備組成的殭屍網絡進一步擴散，因為設備基數龐大，我們捕獲到的攻擊源也相應更多。

圖4.16  UPnP 類日誌攻擊源 IP 的國家分布情況

我們對來自中國的攻擊源 IP 的資產類型進行分析。結合綠盟威脅情報中心（NTI）對這些 IP 資產的開放埠信息與設備類型標記，我們對一些已知類型的設備進行分類。除了我們能夠確認型號的攝像頭、NVR、路由器等物聯網設備外，我們亦將符合以下標準的 IP 資產歸類為嵌入式 / 物聯網設備。

● 開放 UPnP 或 WS-Discovery 服務。

● NTI 識別到設備運行了 Dropbear、lighttpd、MiniHTTPD 服務。

通過以上標準進行分類的結果如圖 4.17 所示。位於中國的 76.6% 的攻擊源 IP 是物聯網設備，其中21.3% 的設備是攝像頭、NVR，7.3% 的設備是路由器。攻擊源與受害者都是物聯網設備，再次印證了我們的猜測，攻擊者針對這些物聯網設備進行攻擊時，同時利用這些設備作為跳板攻擊其他設備，並傳播惡意軟體。

圖4.17  中國 UPnP 漏洞攻擊源 IP 被 NTI 標記的資產類型

結合捕獲的攻擊日誌、關聯漏洞與資產數據，我們也對潛在受影響的 UPnP 設備的國家分布進行了分析。如 4.18 所示。我們選取 UPnP 漏洞攻擊行為關聯的廠商信息、SDK 信息、攻擊目的埠，並在資產數據中進行關聯。我們認為受到目前 UPnP 漏洞攻擊行為潛在威脅的設備包括：

● 華為特定型號、採用特定 UPnP SDK 的設備。

● 採用 Realtek UPnP SDK 的設備。

● D-Link 特定型號、採用特定 UPnP SDK 的設備。

圖4.18  潛在受影響的 UPnP 設備的國家分布情況

4.5 小結

本章首先對 Telnet 服務進行了威脅分析，整體來看，前半年對於 Telnet 服務的利用情況逐月增加，在 8 月份活躍的攻擊者最多，直到後半年攻擊者的數量才有所減少。攻擊者的國家分布廣泛，其中又以中國和美國的攻擊者最多。通過對攻擊者的弱口令分析，結合最初的 Mirai 惡意代碼也是通過 Telnet服務的弱口令將路由器、視頻監控設備組建成殭屍網絡的，可以得出攻擊者主要還是以攻擊開放 Telnet服務的物聯網設備為主的結論。

自 WS-Discovery 反射攻擊在今年 2 月被百度安全研究人員披露以來，今年下半年利用 WSDiscovery進行反射攻擊的事件明顯增多。蜜罐捕獲的 WS-Discovery 反射攻擊事件從 8 月中旬開始呈現上升趨勢，9 月份之後增長快速，需要引起相關人員（如安全廠商、電信服務提供商、運營商等）足夠的重視。類似 WS-Discovery 反射攻擊這種利用物聯網資產進行惡意行為的新型攻擊方法將會隨著物聯網設備的增多而不斷出現，暴露數量多並且之前並未引起足夠關注的物聯網資產同樣需要重點關注。

UPnP 服務的暴露數量較去年減少約 22%，但依舊在兩百萬量級。從國家分布來看，俄羅斯的暴露數量變化最為明顯，相比去年下降了 84%，因此，我們推測俄羅斯的相關部門推動了對於 UPnP 的治理行動，這也在一定程度上反應出物聯網威脅正在從監測走向治理。但這種層面的治理終究治標不治本，理想情況下，相關部門、廠商應該推動 UPnP 相關 SDK 的完善，同時對於存在問題的產品，推動相關廠商進行補丁的修復，並且將對於 UPnP 的安全評估納入物聯網安全評估指標項中，從而確保不會再有新的產品存在已知的風險。另外，也可以參考第五章的物聯網終端安全防護機制來進行防護。

5、面向物聯網終端的安全防護機制

5.1 引言

為緩解越來越嚴重的物聯網相關威脅，綠盟科技提出了融合「雲管邊端」的物聯網安全解決方案。其中，我們將物聯網雲端、運營商管道、邊緣計算的安全稱為基礎設施安全，將物聯網終端上的各種安全機制稱為物聯網終端安全。

相比於雲端和管道側有相對成熟的防護機制、邊緣尚未成型也無現實威脅，物聯網終端卻面臨巨大的安全挑戰，其安全顯得更加的重要。一方面，雖然物聯網設備已存在很長的時間，但早期物聯網設備及其應用協議都因為安全性設計考慮不周，存在各種的脆弱性；另一方面，前文的物聯網安全事件、資產暴露情況及物聯網的威脅分析，不法分子已經開始利用這些物聯網設備的漏洞和脆弱性，對個人、企業乃至國家產生了嚴重的威脅。所以在本章，我們提出一種以終端保護為核心的物聯網安全防護方法，以提高整體物聯網的安全防護能力。

5.2 物聯網基礎設施安全防護

綠盟科技作為專業的雲安全服務提供商，與主流的雲計算服務商合作，保護雲上業務的安全性。綠盟科技雲安全解決方案採用了軟體定義安全架構，把零散的虛擬化安全設備和傳統安全設備進行整合，形成安全資源池，實現安全設備服務化和管理集中化；通過 API 方式與雲平臺進行聯動。雲安全解決方案能覆蓋私有雲、行業雲和傳統數據中心安全，豐富、彈性、靈活、開放地幫助客戶應對雲計算平臺和雲上業務系統面臨的安全風險和挑戰，如圖 5.1 所示。具體雲安全解決方案部分，可參見綠盟雲相關產品和服務。

圖5.1  綠盟科技雲安全解決方案

在管道側，綠盟科技有多年的運營商骨幹網的安全運營支撐經驗，如態勢感知、僵木蠕、近源清洗等安全解決方案，可有效地檢測和緩解來自物聯網的拒絕服務攻擊，以及針對物聯網終端的惡意探測和攻擊。

隨著雲和人工智慧平臺日趨成熟、5G 網絡的逐步應用與普及，網絡邊緣側出現了大量邊緣節點用於分擔伺服器的分析壓力，如基於 ARM、Intel 高性能晶片的網關產品等。終端和邊緣會進一步融合，以滿足高實時場景下的分析需求。邊緣計算是 5G、物聯網和工業網際網路場景下新型的基礎設施，面向邊緣計算的安全防護還在早期階段。

邊緣節點的處理能力通常強於普通物聯網終端，所以其安全能力會也相對更強，此外，如StarlingX、OpenNess 等邊緣計算平臺都同時是基於虛擬化和容器技術的，呈現雲化的特性。所以邊緣計算平臺的基礎設施安全，很大程度上與保證虛擬化、容器和編排系統的安全。除了前述雲安全解決方案外，綠盟科技於 2018 年發布的《容器安全技術報告》全面介紹了容器安全的防護思路和體系。更詳細的邊緣計算安全研究，敬請期待 2020 年綠盟科技的《邊緣計算安全報告》。

5.3 物聯網終端的防護體系

觀點 7：安全事件頻發，有嚴重安全問題的物聯網終端隱藏著巨大的威脅。物聯網終端防護能力急需建設。而物聯網終端功能、結構非常簡單，防護時需要注意兩點：終端的信息保護和終端的異常分析。

當前，物聯網的威脅的源頭往往指向了脆弱的物聯網終端，在雲、管、邊安全的支撐下，我們提出一種以終端保護為核心的物聯網安全防護體系，為物聯網終端構建兩種能力：終端的信息保護能力和雲端對終端的異常分析能力。前者能保證終端在其自身的使用場景下，有一些方式可以保證終端內部指紋、密鑰等信息的安全；後者能保證即便終端在電站、水閘等很難維護的場景中運行時，也能安全地將一些信息上傳到管理平臺，並能分析出終端的異常狀態。

該安全防護體系如圖 5.2 所示。對於終端內部的關鍵信息，如密鑰、口令、指紋、聲紋等可以放到晶片中，基於晶片內部的安全能力把這些關鍵信息保護起來。印製電路板負責調試接口的限制與隱藏，比如設置串口訪問口令、設置調試接口訪問控制等。固件是實現這些保護功能的軟體代碼。硬體、固件設計的合適，可以保證攻擊者在不拆解晶片的前提下無法獲取關鍵信息和調試功能。在固件中，必要場景下需要提供可信基礎，以防止惡意軟體等應用對破壞終端、篡改關鍵信息等。在終端上應用可信環境，後續小節中會詳細介紹。

圖5.2  物聯網終端防護體系

固件、作業系統與文件系統作為中間件為上層應用提供基礎，其安全性主要體現在對上層應用訪問內存、硬碟外圍設備等資源的訪問權限方面，這些中間件能提供的基礎 API 已經足夠，所以應用層只需要基於作業系統、文件系統的 API 做好自身的安全性即可。而作業系統、文件系統在實際應用中只有可選的幾個方案，終端需要關注的是已有哪些安全問題，比如嵌入式 Linux、嵌入式安卓、RTOS（Real-timeOperating System, RTOS）等，其漏洞信息在 CVE Details 網站上可查，廠商需要針對這些漏洞做好安全防護，如做好內核更新、源碼漏洞修正等。

物聯網終端一般性能受限，安全分析、處理的能力欠缺，所以需要雲端強大的計算能力提供安全分析，終端需要上傳一些信息配合雲端做異常分析。雲端分析完成後，如果有異常，終端需要處理異常。從行為角度分析，終端有兩個行為需要引起注意：進程行為和網絡行為。進程行為決定了如何處理終端內部信息，網絡行為決定了信息怎麼出去，怎麼進來。如果惡意軟體入侵成功，必然需要一次通信保證惡意軟體被植入，然後啟用惡意軟體進程。所以，針對終端的行為分析，可以簡單地理解為進程行為和網絡行為。終端側防火牆（如 iptables）結合策略可以做網絡控制以停止惡意連接，終端內需要具備進程控制能力以殺死惡意軟體進程。由於策略是經過雲端分析並發現異常後確定的，所以必須有一個通道負責接收雲端策略。這樣，信息上傳、異常分析、策略接收與執行這些流程形成了閉環。

還有兩個敏感問題需要注意：信息保護和安全升級。信息保護所說的信息可分終端自身信息保護與網絡信息保護。終端內部信息是諸如密鑰、指紋等關鍵信息，網絡信息是需要上傳的信息，如域名請求信息、NetFlow 等。對網絡信息的保護，終端和雲端需要在足夠強的認證和加密的基礎上建立安全通道，對終端自身信息的保護需要結合安全存儲、可信執行、硬體調試策略等機制來實現。如果有軟體需要升級，還需要在終端和雲端之間建立一個安全的文件傳輸通道負責升級包的發送與接收，終端也需要安全地處理升級包，以防止惡意升級等。

5.4 物聯網終端的信息保護

5.4.1 防護思路

需要指出的是，SDK（Software Development Kit） 包含晶片廠商、 代工生產廠商（OriginalEquipment Manufacturer，OEM）、安全廠商等提供的所有 SDK。信息分 7 個，其中，前兩個是硬體信息，考慮到終端的組裝、維修等流程，這些硬體信息必須完整保留。中間三個則可以通過應用可信系統、安全探針、SDK 等得到部分或者完整的支持。對於指紋等關鍵信息的保護，目前只能依託安全晶片、可信系統和安全 SDK 來保證。目前對網絡的加密和認證，表格所示 5 種方案均能保證。由表 5.1 所示，橫向是一些安全解決方案，縱向是終端上的信息，空心圓表示不支持該信息的保護，實心圓表示支持該信息的保護。

表5.1  物聯網終端的信息保護

● PCB 絲印和晶片型號

PCB 信息和晶片型號可以不用抹去，我們假設攻擊者可以看到晶片型號，而且可以在網上獲取到該晶片的相關信息，如參考手冊、數據手冊等。攻擊者獲取到這些信息之後，會找到設備上的調試接口，最起碼是可以通過使用調試器使自己的 PC 和設備之間建立正確的硬體的連接。

● 通信總線接口

通信總線接口是指 UART（Universal Asynchronous Receiver/Transmitter）、I²C （Inter-IntegratedCircuit）、SPI（Serial Peripheral Interface Bus）、I²S（Inter-IC Sound 或 Integrated InterchipSound）、RS-485等通信接口，這部分接口一般會連接傳感器，利用邏輯分析儀可以嗅探到總線上的數據，這部分的數據很難做好防護，只能在開發階段基於廠商的 SDK 做好限制，比如通過設置 UART 登錄認證限制訪問權限，在應用層對數據進行認證和加密。具體採用什麼算法對通信數據做認證和加密，需要結合使用場景和終端性能、功耗而定。

● 調試接口

硬體接口這些可以保留，但是出於安全考慮，對調試接口做訪問控制的能力成為了一種需求。2018年，Ramesh Bhakthavatchalu 和 Nirmala Devi.M 發布了一篇對 JTAG (Joint Test Action Group）接口做訪問控制的文章，在 NXP 最新的 LPC55S69 系列的微控制器中，已經將基於密碼學的調試接口的認證流程集成在晶片中，以保證關鍵信息和代碼的安全性。這種防護思路需要結合晶片廠商提供的SDK 實現，在開發中設置寄存器和相關密鑰參數，以保證調試接口的訪問控制。

● 固件信息

前面的防護方法，儘管可以保證固件很難被讀取，但是也不能排除攻擊者通過社工等手段獲取了固件。如果攻擊者偽造了一個固件，得就防範攻擊者能正常運行偽固件。針對固件的防篡改保護，需要結合安全存儲把密鑰放到一個 OTP Memory（One Time Programmable）或者其他安全存儲區域，這樣密鑰寫入後將無法被更改，利用該密鑰做代碼籤名認證，可以防止代碼被篡改。因為做校驗的密鑰是無法被更改的，在攻擊者獲取不到相應的私鑰的前提下，即便通過一些文檔或者經驗，找到了前面方法，也無法偽造合法的固件籤名。而可信系統正式保證了這樣的認證流程。進一步想，讀取密鑰、驗證籤名的代碼則成為整個安全的核心。可以基於 SDK，利用晶片中對 flash memory （快閃記憶體，夜間快閃記憶體，以下簡稱 flash）的讀保護的功能，對這段代碼做好讀保護，使攻擊者無法獲取這段代碼。同時還可以利用這段代碼做好固件的解密，密鑰存儲在相同的區域即可。如果這段代碼非常小，放在晶片中加以保護即可，如果在外部 flash 中，則需要考慮採用具備認證、加密功能的 flash 才可以。近期，一些存儲器的研發廠商，如 Micron Technology，在 Nor Flash 中集成了數據訪問控制功能，對數據的訪問需提供密碼。

當固件篡改、讀取被限制到足夠強的程度時，安全通信的密鑰存儲有了一定程度的保證，在現有的晶片廠商提供的方案來看，該保證是在攻擊者沒有對晶片做拆解、拍照、逆向的過程。由於對晶片的拆解成本太高，所以，這些最新的安全功能對物聯網設備的防護程度已經足夠強。

● 關鍵資產

關鍵資產的保護可以依託固件保護功能，將關鍵資產集成到固件中，通過防止固件被讀取，來保護關鍵資產的洩露。關鍵資產還可以直接放到安全晶片中，基於安全晶片自身的安全性來保護資產的安全，思路和固件保護相似。

● 網絡信息保護

對網絡信息的防護，只需要關注通信協議即可。如果通信協議中支持認證、加密方式，只需要稍做配置即可做好通信的認證、加密。如果協議本身不支持認證和加密的配置，就需要利用密碼學庫，基於該協議的通信方式做雙向認證的訪問控制和加密的數據傳輸功能。

不同的網絡通信模式，對訪問控制的要求也有些許不同。姑且把網絡協議分為點對點的模式、點對多的模式。點對點的模式比較好理解，比如 HTTP、SSH 等協議是點對點的協議，像 MQTT 等具備訂閱、分發模式我們暫時稱為點對多的協議。對點對點的協議，只要在通信雙方之間做好雙向認證、加密，在物聯網通信場景下已經足夠安全。而對點對多的協議，即便做了客戶端和 Broker 之間的雙向認證，涉及一個因信息共享導致的問題：信息洩露。以 MQTT 為例，MQTT 的網絡結構如圖 5.3 所示：

圖5.3  MQTT 工作模式

MQTT 以 Topic 作為信息的標籤，訂閱 topic 相同，則能收到 MQTT Broker 轉發的相同的信息。如果「mobile device」是一個攻擊者身份，他遍歷地訂閱了 1000 個 Topic，如果這 1000 個 Topic 有 10個 Topic 確實被物聯網設備使用，則這 10 個 Topic 數據同時傳輸到了攻擊者的手機上。所以，對 Topic訪問控制也是必須的，這方面可以結合 ACL 訪問控制規則實現，此處不再贅述。

5.4.2 防護方式

本節討論上文提到的 5 種防護方式的優缺點。非常明顯的是 SDK 在防護方式上具備天然優勢，因為 SDK 可以直接參與到產品設計種，而終端的許多問題都是設計缺陷導致，SDK 能從根源上解決一部分問題。其次為可信系統，可信系統可以被認為是基於 SDK 實現的一套可信機制，這一套機制包含了認證、加密等能力，從軟體上保護關鍵資產。可信系統的缺陷是沒有對可信根做讀保護，安全存儲、PUF（Physical Unclonable Function）等安全能力可以參與到可信根的保護中，進而保證可信根的安全性。安全晶片可以保證關鍵資產不會被人從晶片中獲取，但是主晶片和安全晶片之間的通信過程可以通過邏輯分析儀讀取，所以安全晶片應用的終端應是不會被輕易獲取分析的，才能保證關鍵資產的安全，如手機、車載終端等。安全探針則可以配合安全廠商對物聯網終端做安全分析，如異常檢測和處理，這一點在下一節中會詳細說明。安全設備，如安全網關則適用於企業內網等環境，使用受限。下面，我們詳細介紹每個防護方式。

5.4.2.1 部署安全設備

部署安全網關是一個思路，如前文提到的網絡信息保護和安全維護，通過部署安全網關，可以把物聯網設備隱藏在內網，實現對設備的網絡側的保護。安全網關利用協議轉換、風險檢測、行為分析等分析物聯網設備的行為。

部署安全設備的缺點是不能保證物聯網設備的本地數據的安全。顯然，本地的安全主要是信息的安全存儲，該功能需保證數據的完整性、保密性，對這部分的數據的保護，需要結合 MCU（McrocontrollerUnit）、MPU（Microprocessing Unit）本身的安全能力來做。

例如部署物聯網設備認證網關，所有的設備連入認證網關，利用網關把物聯網設備隱藏起來，設備的網絡安全，設備與雲端的交互則通過網關和雲端的數據交互保證，這個安全網關可以是定製的安全路由器，之所以說是定製，是因為如果網關負責轉發數據和多協議的適配。部署認證網關有以下挑戰：內網數據採集，部署位置和設備的距離、設備數量之間的衝突。由於物聯網設備數量大，部署距離不定，一旦到城域網、廣域網的部署模式下，安全設備也就沒有優勢。儘管部署 IDS 也能做到物聯網設備的攻擊行為檢測，前提是 IDS 規則能適配到相應的物聯網設備遭受不同攻擊的場景。

由於大部分物聯網設備本身的價值小，數量多，部署距離不定，這種花費較大成本卻無法得到很好的防護效果的方式顯然是不可取的。

5.4.2.2 應用安全晶片

安全晶片一般會被應用在計算機、公交卡、USB Key 這類設備，而且應用安全晶片的這類設備，從實際應用看，破解起來均有很大難度，所以，在物聯網場景中，在設備中內置安全晶片看上去是另一種選擇。

安全晶片內部一般會集成 MCU 的功能。目前來看，安全晶片的應用方式有兩種，一種是作為 MCU外部設備來應用，就像是給 MCU 裝上了一個安全應用，安全應用裡面的數據很難被非法獲取或者非法篡改，另一種則是替代 MCU，既實現 MCU 的功能，又實現安全能力。第一種帶來的是成本上的增加和晶片間通信帶來的風險。假如攻擊者可以獲取到主控器和安全晶片之間的連接數據，或者可以在主控器和安全晶片之間建立連接，則安全晶片的功能也就失效了。第二種應用模式將成為一種趨勢，因為這樣能把代碼、數據非常可靠地保證起來。因此，很多安全晶片的安全能力正逐漸被 MCU、MPU、Flash晶片廠商加入到自身產品中，如讀保護，OTP、安全存儲功能等，但是由於存儲量的限制，安全晶片對協議等代碼的支持依舊有限。

應用安全晶片有以下限制：

● 應用的設備需有人管理，這個人可以是買了一個帶有安全晶片功能的掃地機器人的消費者，而對於大量的戶外的物聯網設備，如果沒人維護，被人非法獲取後，依然會存在安全風險。

● 成本較高。TPM 晶片的進口有政策限制，國產的安全晶片成本很高。

● 存儲量的限制。大部分安全晶片並不夠存儲 IP 協議棧的代碼。

● 代替 MCU 的部署場景，只適用於單片機類的產品，導致應用領域受限。所以，部署安全晶片在物聯網設備上，尚不成熟。

5.4.2.3 安全探針

安全探針作為一個應用程式，在最高權限下可以控制網絡連接和進程，適用於有嵌入式 Linux 等較大的作業系統的設備。一方面，探針可以採集數據到雲端，供雲端進行安全分析，以判斷終端的安全狀態，甚至給出健康分值；另一方面，探針還可以接受雲端的安全策略，對終端應用安全策略，以斷開惡意網絡連接並殺死惡意進程。

安全探針需要結合雲端的安全分析能力，否則只有一個探針將毫無意義。雲端的安全能力又需要專業的物聯網安全專家指導，否則安全探針的功能就無法明確。所以，安全探針適合安全廠商來做，並提供配套的安全分析服務，以保證終端的安全與預警。

5.4.2.4 SDK

SDK 作為軟體開發包，可以直接參與到產品研發階段，能從根本上解決一定的安全問題。在產品的設計研發階段，有晶片廠商、OEM 廠商的參與並提供 SDK，所以，基於晶片的安全能力和 OEM 廠商提供的中間件，完全可以從底層開始對物聯網終端做安全防護。晶片上可以設置保護區域和可信區域，固件上可以做好代碼檢查以及關鍵資產保護，應用層還可以做流量的認證和加密、安全升級，甚至基於 SDK 實現一個簡單的探針。SDK 的應用不限於設備類型，從簡單的插座到複雜的攝像頭均可以基於SDK 做安全方案。

5.4.2.5 應用可信技術

簡單地說，TEE 是利用 OTP/Fuse 等一次性寫入存儲區域的數據作為可信根，做內存虛擬化實現安全域和非安全域的一種機制後，在安全域實現一些更複雜的諸如安全存儲、代碼校驗等能力的安全機制，其架構如圖 5.4 所示。

利用 TEE 技術在物聯網終端上將數據持久地安全存儲，實際上並不能真正的實現 100% 的不可讀，因為其根本上還是軟體、代碼，只要被讀出來就有風險，但是卻能提高逆向分析終端的難度。而實際上，隨著智慧型手機應用 TEE 技術，終端自身的安全問題的確少了許多，但是隨著攻擊者攻擊手段和知識水平的提高，僅僅用 TEE 做安全存儲並不是長久之計。還需要結合比如 NXP 的 Kinetis Security andFlash Protection Features，或者 ST 公司的 RDP（ReaDout Protection）的思路，把密鑰寫入到一個真正只有拆解晶片來拍照逆向才能讀取的一塊區域中，這樣才能達到晶片級別的防護。而物聯網環境下，達到晶片級別的防護，其破解成本已經足夠強，而且能很好的應對前兩種攻擊手段，因為密鑰並不在外部的 flash 中，在開啟讀保護的前提下，攻擊者只能讀內存或者拆晶片來獲取密鑰。而廠家只需要保證自身產品的升級流程是安全的即可，因為升級過程可以重新刷寫晶片內部 flash 區域，如果攻擊者利用了升級漏洞，會把讀保護標誌位置為可讀。

TEE 是可信執行環境，在應對敏感數據持久化存儲方面儘管不是目前最好的解決辦法，但是自身的安全機制已經提高了破解條件。結合其他技術，物聯網終端一定可以比較完美地保護起來。因為 TEE機制導致的性能損失，可以經過測試後，根據自身產品現狀決定需不需要採用 TEE 這樣一套機制，或者決定需不需要優化 TEE 的性能。

圖5.4  TEE 軟體結構

5.5 終端異常檢測和處置

前文介紹了終端側需要保護的信息，以及保護方式和形式。除了終端側的加固要完備，雲端針對終端的分析，也需要確保終端運行時是否存在異常。接下來，我們將介紹雲端分析所需的一些重要功能點，如信息採集、策略接受與處理等。

5.5.1 信息採集

終端側為配合雲端做異常檢測，需要上傳信息到雲端，使雲端有準確的數據可分析。我們列出了終端運行過程中需要採集的 6 類數據，以供參考：終端請求解析的域名、建立的網絡連接、啟動的進程信息、文件系統變化、流量信息、系統日誌。

前兩項數據可以確定終端連接了哪些域名下的服務，進而連接了哪些 IP 和埠。在簡單的物聯網終端中，這些域名、IP 會比較固定，一旦出現新的連接，也很容易發現是一個陌生的連接，雲端可以根據黑白名單策略即可分析出異常。如圖 5.5 所示。

圖5.5  DNS 信息以及網絡連接信息

中間兩項數據可以確定終端的哪個進程發起了異常連接，一旦物聯網終端內被植入了惡意程序，則文件系統內的文件內容必然會做更改，此時文件監控可以定位到惡意文件。進程監控信息則能監控到惡意軟體的啟動時間、啟動參數等。一旦被惡意軟體入侵，終端需要將異常的二進位程序發到雲端，雲端做威脅分析，進而推斷異常來源。如圖 5.6 所示。

圖5.6  文件系統監控信息以及進程信息

最後兩項數據可以輔助推斷異常二進位程序的來源。如攻擊者通過 SSH 登錄時，NetFlow 可以監控到 SSH 協議的流量信息，系統日誌可以監控到用戶登錄信息等，進而確定終端被攻破入口。分別如圖 5.7和圖 5.8 所示。

圖5.7  系統登陸日誌（SSH 等）

圖5.8  NetFlow 信息

其中，前四項數據必須不斷上傳，後兩項數據可以根據基於前四項數據後的結果，再看是否需要後面兩個數據的支持。所以，在圖 5.2 中標識為動態上傳。

5.5.2 策略下發與安全處置

海量終端的數據上傳到雲平臺以後，雲平臺對數據的處理和分析也是一大挑戰。其難度主要在於終端的數量和種類繁多。由於物聯網終端的複雜性遠小於個人電腦，所以雲端的挑戰是小於殺毒軟體產品的雲端分析的，所以雲端面臨的數據壓力比較小，在分布式環境部署方面，現有的方案很多都可以滿足。但是，選擇合適的傳輸協議併合理分類終端與數據類型是一個非常重要的工作。

根據我們對物聯網終端的認識，按照廠商、設備類別、設備系列、設備型號、設備 ID 的逐層分類的方式比較合理，而且這不是一個挑戰。因為安全側需要的數據明確且小量，所以並不會給終端自身帶來計算和帶寬上的壓力。數據上傳到雲端或者邊緣側的服務端以後，服務端對每個終端的安全性建立安全模型，從進程行為、網絡行為這兩個方面做更加細緻的分析，具體流程如下：

● 廠商上傳設備正常的進程和網絡行為。

● 雲端接收終端側採集上來的數據。

● 對每個終端建立安全模型。

● 分析終端的網絡行為。

● 分析終端的進程行為。

● 給每個終端做健康評分。

● 對低於 100 分、90 分、80 分的終端分別告警，級別依次提升。

● 向低於 90 分的終端發起 NetFlow 和日誌採集任務。

● 給低於 90 分的終端生成新的白名單。

● 下發名單到相應的終端中。

如果終端被惡意軟體入侵，信息採集頻次足夠強的情況下，進程啟動信息和網絡連接信息中一定能看到新的進程啟動，新的網絡連接發起。所以，下一步要解決的問題是如何把惡意程序禁止，斷掉惡意連接。物聯網終端的結構很簡單，利用基於白名單的進程、網絡的控制策略來偵測和禁止惡意程序啟動並殺死已經啟動的惡意程序，已經足夠了。

所以，終端需要具備的是基於白名單做進程、網絡連接的控制能力。服務端需要具備的是數據分析能力、白名單生成能力。終端側可以基於 ps、kill 等進程控制程序實現一套基於白名單的控制機制，網絡側可以基於 iptables、netstat 等網絡控制程序實現一套基於白名單的網絡控制機制。服務端可以部署分布式集群以滿足大量終端的數據分析需要，分析完畢後，將異常結果轉化為策略（白名單）並將其通過安全通道下發至終端，形成反饋。

隨著終端的計算性能逐年提升，CPU、MCU 等不再局限於通信接口的完備和低功耗等基礎功能，晶片製造廠商在其中加入了安全能力（如 AES 加密器、只讀 Flash 等），邊緣計算概念的提出，終端需要的安全分析工作甚至可以在網關、節點處直接進行，比如特斯拉電動汽車為了滿足高實時性的自動駕駛，其搭載的英偉達計算單元說得上是一臺超級電腦；米尺的 Mi-Link 智能網關具備 LoRa 網絡的邊緣計算能力。一方面，基於物聯網終端的防護思路，可以保證邊緣計算終端的自身的安全性，另一方面，邊緣的分析能力也能為物聯網終端的安全保駕護航。

5.6 總結

本章介紹了面向終端的物聯網安全防護體系，主要詳細介紹了兩個方面的安全防護，其一是物聯網終端的信息保護，其二是物聯網終端的異常分析。

在終端側必須結合讀保護等安全存儲功能以保證物聯網終端自身的信息安全，才能避免被黑客從硬體、固件、軟體或網絡層面破解。然而，即便像 STM32 晶片有給固件加鎖的 RDP 能力，也是存在一定的安全風險的，這些具備安全能力的 MCU 已經開始普及，黑客和安全研究人員對它們的關注也將逐漸增加，隨著安全研究的逐步深入，這種風險的暴露是必然的。當然，隨著問題的暴露和修復，鎖的安全性將逐步提高，安全存儲功能也將越來越有保障。

以適當的方式將終端內的信息保護好以後，再結合強大的雲端分析能力，對功能單一、結構簡單的終端做簡單的行為分析即可分析出異常狀態。終端自身的信息保護能力和雲端的安全分析能力相加，終端的安全將得到非常大的保障。

由上，通過身份認證、信息加密、異常檢測和取證朔源等手段，使得物聯網終端的安全得到保障，整個物聯網的安全將有一個堅實的基石。作為安全廠商，綠盟科技需要不斷地和終端廠商合作，一同解決終端的安全問題，強化雲端的安全分析能力，打造安全可控的物聯網生態鏈，為物聯網安全保駕護航。

微信公眾號：計算機與網絡安全

ID：Computer-network