2017年国内恶意物联网IP分析

近两年来，随着物联网相关技术的发展，几乎所有的家用电器都可以接入网络。智能化的应用给生活带来便利的同时，其副作用也随之而生。2016年，攻击者使用Mirai病毒用僵尸物联网设备让一个新闻网站的重要防火墙瘫痪之后，紧接着Dyn DNS service遭受到攻击，使得美国网络中流砥柱的公司大面积瘫痪，影响遍及数百万人群。而Mirai能够在识别物联网设备的同时令其感染病毒使之成为僵尸网络，进而集中控制物联网设备，发起分布式拒绝服务(DDoS)攻击，大量垃圾流量会渗透进入目标服务器，令服务器瘫痪。如今，受到威胁的不再只是电脑，网络摄像头和路由器也早已危机四伏，因此对物联网僵尸网络的识别及攻击预测，显得尤为重要。

通常情况下，可以从地址类型、网络位置、行为位置、风险类型等多个方面对某一IP进行描绘，IP维度上产生的信息，可以在很多业务场景中配合使用，如果对一些可疑的IP进行合理的描绘，输出相关的情报信息，从某些方面讲也可以为恶意攻击提供一定的预警能力。本文对物联网设备的IP进行了分析，主要从设备类型，开放服务，地域信息，攻击类型四个方面进行描绘，而且对这些维度进行分析，从中得出现有的恶意物联网IP的特征，并分析这些特征产生的可能原因。

图1  物联网恶意IP可选的描绘维度

由2017年3月份绿盟科技创新中心物联网安全实验室和威胁情报实验室联合发表的《国内物联网资产的暴露情况分析》()中了解到，国内有十几种物联网设备存在数量较多的暴露情况，根据数量排序依次列出。

图2  全球和国内物联网相关设备暴露情况

本文物联网资产数据全部来源于NTI(绿盟威胁情报中心)，通过设备类型标签提取出物联网资产，将结果与历史攻击事件数据库中3000w IP进行撞库处理，最后共获得77860条恶意物联网资产记录，并将以上两个数据库的字段相结合做了如下相关分析。

二、相关分析

1. 攻击类型分析

恶意的物联网资产以肉鸡为主，主要发动扫描和DDoS攻击。

我们对威胁IP历史攻击事件数据库中提取的恶意物联网资产的攻击类型字段进行统计，对于物联网资产而言，多数恶意的物联网设备都是被其他主机控制，组成僵尸网络进行攻击。如图 2.1 所示，除了其他攻击类型以外，Botnet(僵尸网络)总量占比最多，主要做Scanners(扫描器)和DDoS攻击。当初的Mirai事件就是黑客利用物联网设备的弱口令等安全漏洞，主要对网络监控设备实施入侵，并植入恶意软件构建僵尸网络进行DDoS攻击，致使被攻击的网络瘫痪的现象。

图3  恶意物联网资产攻击类型数量分布

2. 设备类型分析

恶意物联网设备中路由器和网络摄像头数量最多，占恶意总量90%以上。

从上图可以看出恶意物联网IP中路由器和网络摄像头两种设备占总量的90%以上，是什么导致二者数量占比这么多呢?分析猜测有以下几点原因。首先，从图 4物联网资产暴露情况来看，恶意物联网设备类型的数量排名与暴露的数量的排名几乎相吻合，暴露的基数越大该设备被控制的数量可能就会越多;其次，因为多数人并不知道路由器，摄像头等物联网设备会被大规模植入恶意软件，所以此类设备很少有防护，而且具有常开的特性，操控者不担心会失去连接，这为攻击提供了很大的便利;最后也跟NTI的物联网资产数据有关，可能因为NTI对摄像头和路由器识别基数大，所以路由器和摄像头的恶意资产较多。以上等等均为推测，欲知确切原因，还需要更多数据进一步佐证。

图4  恶意物联网设备类型分布情况

3. 地域分布分析

全球恶意的物联网僵尸网络大多数分布在人口较多的发展中国家。

印度的物联网僵尸网络数量最多，其次是中国和巴西，三个都是发展中国家，而且人口基数都很大，可能对路由器、摄像头等物联网设备需求也较多，并且一定程度上说明这些国家地区的人们对物联网安全意识相对薄弱。

图5  恶意物联网设备全球分布示意图

图6  恶意物联网设备国家数量分布

国内恶意的物联网僵尸网络主要分布在东南沿海地带，包括长三角，珠三角和京津冀经济带，香港地区是重灾区。