物聯網惡意軟體攻擊的剖析

---

對於攻擊，攻擊者需要擊中攻擊面，攻擊面被描述為裝置所有弱點​​的總和。當攻擊者識別並熟悉攻擊面時，他們會建立攻擊載體，攻擊者利用攻擊載體來查詢並利用組織中脆弱的物聯網裝置，並導致裝置執行與其預期目的不同的操作。常見的攻擊載體包括：電子郵件中的連結（“如果您需要輕鬆賺錢，請點選此處”）、下載的軟體（“您的 Flash 播放器已過時”），或者即使將滑鼠懸停在受感染的廣告上也可能為未來的攻擊者提供進入途徑。

物聯網惡意軟體攻擊

網路安全領域是一個廣泛而龐大的主題，超出了本節的範圍。但是，瞭解三種基於物聯網的攻擊和利用方式是有益的。由於物聯網的範圍包括硬體、網路、協議、訊號、雲元件、架構、作業系統以及介於兩者之間的所有內容，因此我們現在將詳細介紹三種常見的攻擊型別 -

Mirai

歷史上最具破壞性的拒絕服務攻擊來自偏遠地區不安全的物聯網裝置。

震網

一種國家級數字武器，針對控制伊朗核計劃的關鍵且不可逆轉損害的現代 SCADA 物聯網裝置。

連鎖反應

一種利用個人區域網網路的利用技術，僅使用光，不需要網際網路。

通過了解這種有害行為，工程師可以推斷出威懾性創新和流程，以確保緩解類似事件。

物聯網攻擊是如何發生的？

早期訪問

攻擊者檢查連線，使用快速埠掃描工具來查詢具有開放埠的脆弱裝置。然後，攻擊者獲取裝置的 IP 地址。

行動

從那時起，利用漏洞或蠻力來執行有效載荷或請求到脆弱的裝置。裝置的作業系統與 shell 命令混合使用。這會導致將惡意檔案下載到作業系統中，該檔案執行惡意軟體有效載荷，從而執行惡意操作。

永續性

執行的惡意軟體有效載荷在裝置上保留了剩餘部分，阻礙了檢測系統並建立新檔案。當裝置的作業系統 shell 保持開啟狀態時，會為將來建立持續訪問許可權。

規避

使用逃避機制可以幫助您避免被發現或檢測到。清除系統日誌和請求歷史記錄、用偽造的檔名隱藏有效載荷檔案、解除安裝主機的安全檢測工具以及使用反虛擬機器和反取證技術是幾個示例。

資料獲取

現在獲取裝置上的所有資料。私鑰和比特幣錢包等敏感檔案在此處處理。例如，高階持續威脅攻擊利用受影響裝置的網路流量收集受感染裝置的敏感資料。

命令與控制

根據從 C&C 伺服器接收到的命令，惡意軟體有效載荷繼續執行惡意操作，例如 TCP 泛洪、UDP 泛洪和感染其他裝置。HTTP、IRC、P2P 和其他協議用於 C&C 通道。

橫向移動

在獲得對第一臺裝置的訪問許可權後，攻擊者使用橫向移動技術訪問網路的其他脆弱裝置，然後單獨攻擊這些裝置。例如，邊緣交換機容易受到攻擊。然後，它傳播到所有關聯的物聯網裝置。

影響

資料加密以勒索贖金、硬碟和資料的完全破壞以及加密貨幣挖掘利用都是惡意迴圈對物聯網裝置可能產生的後果。惡意軟體可以“鎖定”物聯網裝置，透過耗盡其處理能力或重置其元件限制來實現。

物聯網惡意軟體示例

TimpDoor

此惡意軟體專門針對 Android 裝置，並透過偽造的語音郵件應用程式傳播到裝置。這份 McAfee 報告描述了不知情的受害者如何收到一條簡訊，通知他們有語音郵件以及一個連結來安裝 TimpDoor 應用程式的 APK 檔案（Android 的應用程式分發格式）。

APK 通常（也應該）從 Google 的 PlayStore 安裝，因此受害者會獲得有關從“未知來源”安裝應用程式的分步說明（一個警告，對吧？）。安裝簡訊應用程式後，它會將手機轉換為加密流量的中繼伺服器，目的是攻擊裝置所有者可以訪問的私有公司和家庭網路。

垃圾郵件機器人

電子郵件是垃圾郵件傳送者的支柱，他們的真正目標是透過包含誘人主題、色情內容等郵件（稱為欺騙性內容）將人們引導到其客戶的網站。用於誘騙您點選連結的策略有所不同（“一夜之間減掉 100 磅！立即點選此處！”或“免費獲得 iPhone。立即點選此處！”）。

整個過程取決於他們的電子郵件是否出現在您的收件箱中。垃圾郵件傳送者面臨的主要問題是如何傳送郵件以避免被垃圾郵件過濾器捕獲，許多垃圾郵件過濾器使用已知被垃圾郵件傳送者（如開放中繼）使用的基本郵件傳輸協議 (SMTP) 伺服器 IP 地址的“黑名單”。

結論

由於安全性在物聯網裝置開發生命週期中通常是一個事後考慮的問題，因此加密等安全功能經常被忽略甚至根本沒有考慮。該行業正在呼籲嵌入式加密，例如可以處理物聯網裝置中的加密和身份驗證的加密協處理器。如果您正在規劃和構建物聯網應用程式，則應重視透過網路傳輸資料（如資料加密過程）。