国内物联网资产的暴露情况分析.pdf

国内物联网资产的暴露情况分析绿盟科技创新中心物联网安全实验室绿盟威胁情报中心（NTI）2017.3 2017 绿盟科技关于绿盟科技北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易。股票简称：绿盟科技 股票代码：300369目录一 . 简介 21.1 研究方法 31.2 关键性发现 3二 . 常见物联网设备在国内的暴露情况 52.1 引言 52.2 视频监控设备 52.2.1 总体情况 52.2.2 特定厂商 72.3 家用路由器 82.3.1 总体情况 82.3.2 特定厂商 102.3.3 其它发现 142.4 打印机 152.4.1 总体情况 152.4.2 特定厂商 172.5 小结 19三 . 物联网操作系统在国内的暴露情况 203.1 引言 203.2 操作系统列表 203.3 物联网操作系统设备信息暴露情况与分析 213.3.1 Nucleus 213.3.2 OpenWrt/DD-WRT/LEDE 223.3.3 Raspbian/Raspberry Pi 243.3.4 uClinux 253.3.5 VxWorks/ WindRiver 263.4 物联网操作系统分析小结 27四 . 总结 28参考资料 29版权声明特别声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。为避免客户数据泄露，所有数据在进行分析前都已经匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。国内物联网资产的暴露情况分析由如下部门联合撰写绿盟科技创新中心物联网安全实验室绿盟威胁情报中心（NTI）绿盟科技持续关注物联网安全的相关信息 , 如需了解更多，请联系：官方网站 技术博客 微信公众号2国内物联网资产的暴露情况分析一. 简介随着传感、计算、通信等技术的成熟，物联网在各行业将会出现越来越多的应用。市场研究机构 Gartner 预测12，自 2015 年至 2020 年，物联网终端年均复合增长率为 33%，装机量高达 204 亿，其中三分之二为消费者应用。在联网的消费者和企业终端的投资的年均复合增长率为 20%，高 达 2.9万亿美元，将取代非联网设备的投资。2016 年，物联网被写进“十三五”规划，规划指出要积极推进云计算和物联网发展，推进物联网感知设施规划布局，发展物联网开环应用。这显示了国家在战略层面非常重视各类物联网基础设施和应用。与此同时，众多物联网设备和应用面临严峻的安全挑战。 2016 年 9 月 20 日，著名的安全新闻工作者 Brian Krebs 的网站 KrebsOnSecurity 受到大规模的 DDoS 攻击，其攻击峰值达到 665Gbps，Brian Krebs 推测此次攻击由 Mirai 僵尸网络发动。 2016 年 9 月 20 日，Mirai 僵尸网络针对法国网站主机 OVH 的攻击突破 DDoS攻击记录，其攻击量达到 1.1Tpbs，最大达到 1.5Tpbs。2016 年 10 月 21 日，美国域名服务商 Dyn 遭受大规模DDoS 攻击，其中重要的攻击源确认来自于 Mirai 僵尸网络，美国东海岸地区遭受大面积网络瘫痪。 2016 年 11月 28 日，德国电信遭遇断网时间，攻击源来自 Mirai 僵尸网络的新变种。而 Mirai 僵尸网络的广泛传播，则是因为暴露在互联网的物联网设备存在安全问题，如弱口令等。值得注意的是，很大一部分的受 Mirai 恶意代码感染的物联网设备是直接暴露在互联网上。因而，掌握物联网资产在全互联网中的暴露情况是一个非常值得关注的研究点，一种可行的研究方法是通过网络空间搜索引擎发现相关的物联网设备。不同于互联网搜索引擎 Google、百度，网络空间搜索引擎（如 NTI1、Shodan2、ZoomEye 3）关注于 IP地址以及其所对应的设备、其上运行的服务，其中 NTI 是绿盟科技的威胁情报平台。对于安全研究人员，借助其所探测到的结果，在发现漏洞时，可快速了解其在全球的分布情况。2016 年，趋势科技发布了一份基于 Shodan 的数据的研究报告9，报告分析了美国六大关键行业（政府、紧急服务、医疗、公共事业、金融和教育）在互联网上的暴露情况。在 RSA2017 上，趋势科技的研究人员对研究报告的内容做了主题演讲10。在物联网相关分析中，该报告主要集中于工业控制系统，视频监控设备、路由器等虽有提及，但并非关注的重点，只是作为某一行业探测到的产品出现。在物联网相关的安全问题越来越引发人们的关注的背景下，对在互联网上暴露的广义物联网资产进行分析和梳理是有必要的，在获得相关数据后，可对物联网安全态势分析、政策和方案决策，以及技术上做进一步脆弱性和风险评估。在技术路线方面，考虑到国内外的物联网系统和产品有较大的差异，本文中我们主要对位于中国的物联网资产进行了分析，通过展示物联网设备的暴露情况，如城市分布、端口分布，来说明有哪些服务是可以被互联网访问到的，以及服务潜在的安全问题，目的是使公众提高物联网威胁的防范意识。在第二章和第三章，我们分别从物联网设备维度和物联网操作系统维度进行了分析。第二章展示了都有哪些物联网设备暴露在互联网上以及其有怎样的分布情况。第三章我们对常见的物联网操作系统进行了搜索，以期使读者对暴露在互联网的操作系统的情况有一定的认识。需要说明的是，一个物联网设备暴露在互联网并不一定意味着这个设备存在问题，只能说明该设备存在被攻击甚至被利用的风险。比如一个设备通过用户名和密码可以被登录，如果用户使用了安全强度比较高的密码，则该设备便不存在弱口令的风险。但一旦设备暴露在互联网上，就增加了其攻击面，一旦在突发的安全事件中（如3国内物联网资产的暴露情况分析心脏出血等）其暴露的相关服务被发现漏洞，就存在被攻破的风险。1.1 研究方法本次分析工作基于 NTI、ZoomEye 和 Shodan 的数据进行。数据主要有两类来源方式：第一类是搜索引擎本身已经识别出的设备，若我们认为没有问题，则会直接采用，如在 NTI 的搜索栏输入“ service:DAHUA-DVR”，可查看浙江大华 DVR 的信息；第二类是通过厂商、型号等信息直接在搜索栏进行搜索，对搜索到的结果进行观察，来调整搜索信息，直至搜索到满意的结果。以路由器为例，我们对主流家用路由器的绝大多数型号进行了搜索；以海康威视为例，我们发现海康威视的摄像头的某些服务的 BANNER 信息中包含“ Server: Hikvision-Webs”字符串，所以可以直接以该字符串请求搜索引擎就能搜索到海康威视的摄像头。声明：本报告的所有数据均来自公开的网络空间搜索引擎 NTI、Shodan 和 ZoomEye。1.2 关键性发现我们对常见的物联网设备和操作系统进行了分析，关键性发现如下：1. 海康威视和大华两大厂商的网络监控设备暴露数量最多，东南沿海为国内网络监控设备暴露最严重的区域。2. 暴露在国内互联网上的路由器以国产品牌为主，暴露出来的端口所对应的协议以 UPnP 和 FTP 协议为主。互联网厂商的路由器销量增长迅猛但暴露较少。3. 国内有上万台路由器感染恶意软件 Linux.Wifatch，路由器安全现状不容乐观。4. 港台地区为网络打印机暴露的重灾区，暴露数量达总暴露量的 95% 以上。5. 大部分搭载操作系统的设备未经更改默认配置就被部署到互联网上，这也是它们被探测到的主要原因。如：运行 DD-WRT 的设备开启的 7924 个 HTTP 服务中，有 22.6% 是由于 title 中具有“ DD-WRT (build xxxxx=“infopage“”信息而被暴露。 98.6% 运行 uClinux 的设备都会带有“ Server: uClinux/2.6.28.10 UPnP/1.0 MiniUPnPd/1.3”的 banner 信息。6. 运行 DD-WRT 和 uClinux 的具有路由器功能的设备，在做了 NAT 的情况下，会使它本身的 IP 具有多个设备的融合属性。4国内物联网资产的暴露情况分析二. 常见物联网设备在国内的暴露情况2.1 引言智能设备的应用已经渐渐成为了日常生活不可或缺的一部分，可是便利之余，物联网设备中暗藏的安全问题也不容小觑。 通过数据收集与分析，了解到国内有十几种物联网设备存在数量较多的暴露情况，根据数量排序依次列出。由图 2.1 可以看出，用于接入互联网的设备暴露情况严重，国内的路由器和调制解码器（ Modem）设备暴露数量较多，二者总数量达到 500 万以上。当然物联网设备不仅仅这些，还有一些比较小众（比如：门禁设备、温度监控系统和车辆调度系统等等）或者某些工业领域的设备并未列出，我们可能会视情况在后续的报告中进行补充或更新；其次有很大一部分物联网设备接入的是局域网，通过 NAT 方式与物联网应用通信，隐藏在网关设备后面，这类设备不会暴露在互联网上。2.2 视频监控设备视频监控设备是一类非常重要的物联网设备，而且近年一些国际上的物联网安全事件很多与之有关，所以本节主要对国内的视频监控设备暴露情况进行统计及分析。2.2.1 总体情况权威研究机构 IHS 发布2014 全球 CCTV 与视频监控设备市场研究报告显示，全球视频监控市场份额前15 位厂家分别为：海康、大华、安讯士、松下、三星泰科、博世安防、派尔高、霍尼韦尔、威智伦、泰科安防、索尼、宇视、 Aventura、 UTC、英飞拓。海康威视第一、大华股份第二，不过第一和第一之间差距较大19。图 2.2 为 HIS2013 年的中国监控设备市场份额的统计。图 2.1 全球和国内物联网相关设备暴露情况5国内物联网资产的暴露情况分析图 2.3 国内网络监控设备暴露概况图 2.2 2013年中国监控设备的市场份额大致情况我们对以上及其他部分视频监控设备厂商暴露情况进行搜索，得出以下观点：观点 1： 海康威视和大华两大厂商暴露数量较多时至今日国内大概有 10 几家网络监控设备（网络硬盘摄像机、网络摄像头和视频服务器等）厂商的产品存在不同程度的暴露情况，其中海康威视和浙江大华两大厂商暴露数量较多。6国内物联网资产的暴露情况分析由以上两张图表可以看出，国内大概有一百多万台以上的监控设备存在暴露情况，其中网络硬盘摄像机设备暴露最为严重，而海康和大华两个厂商的产品占了约一百万台。2.2.2 特定厂商据图 2.4 可知，大华和海康两个厂商的网络监控设备暴露最多，所以接下来我们将这二者作为主要的分析对象，主要对其开放端口和地理位置进行了统计和分析。2.2.2.1 开放端口分析观点 2： 网络监控设备暴露的端口很多是默认端口如图 2.5 所示，整理了暴露设备出现次数较多的端口和常用的端口及其对应的协议。根据查阅资料了解到不同的监控设备厂商会开放的默认端口有一定的差异性，比如 : 大华监控设备视频数据服务的默认端口是 37777，海康威视数据服务的默认端口是 8000。攻击者同样也可以根据上述资料找到相关设备的默认端口，从而通过扫描定位设备，故建议修改设备各项服务的默认端口，降低被攻击者通过广谱扫描而发现的风险。图 2.5 网络视频监控设备端口总暴露情况图 2.4 暴露的网络监控设备厂商分布