根據(jù)創(chuàng)新擴散理論（Diffusion of Innovation），目前尚未跨越鴻溝到達物聯(lián)網(wǎng)（IoT）主流市場采納（目前的部署數(shù)量為84億，預測2020年將達200～300億，2035年達到1兆）。被駭?shù)腎oT裝置試圖跨越鴻溝到未來，未來應該是光明且自動化的，但如果不處理好威脅問題的話，未來愿景將無法實現(xiàn)。

F5 Labs與其數(shù)據(jù)合作伙伴Loryka一起追蹤了兩年的“獵殺IoT”。主要圍繞23端口Telnet暴力攻擊，因為它們是破壞物聯(lián)網(wǎng)設備最簡單、最常見危及物聯(lián)網(wǎng)設備的安全的方式。從技術的角度來看，他們只需要在攻擊計劃中采取更多步驟，并且針對非標準端口和協(xié)議、特定制造商、設備類型或型號，就可以全面發(fā)動攻擊。例如，至少有4,600萬個家庭路由器容易受到攻擊。我們已經(jīng)目睹了攻擊者正在演變他們的手段和目標市場，以便像合法企業(yè)和金融市場那樣透過妥協(xié)的物聯(lián)網(wǎng)設備來賺錢。

該研究也發(fā)現(xiàn)，有新的威脅網(wǎng)絡和IP地址不斷地加入物聯(lián)網(wǎng)狩獵行列，成為新威脅參與者，并且隨著時間的推移，已經(jīng)演變?yōu)橐恢鹿泊娴捻敿壨{參與者。它們可能使用受歡迎的網(wǎng)絡如托管服務提供商，或電信網(wǎng)絡中的住宅物聯(lián)網(wǎng)設備，利用家庭路由器、無線IP攝影機和DV R透過Telnet進行攻擊，并發(fā)起DDoS攻擊。

1殭尸物聯(lián)網(wǎng)的威脅持續(xù)存在

經(jīng)過兩年的數(shù)據(jù)分析后，仍然看到同樣的威脅IP、網(wǎng)絡和國家在發(fā)動攻擊。這代表若不是惡意流量未被處理，否則就是遭感染的IoT裝置沒有接受凈化，要不然不會一再地看到相同的威脅者。這些攻擊建立了強大的殭尸物聯(lián)網(wǎng)，具備發(fā)動全球毀滅性攻擊的能力，而安全產(chǎn)業(yè)也越來越頻繁的發(fā)現(xiàn)它們，如圖1所示。

▲ 圖1 由物聯(lián)網(wǎng)攻擊機器人（Thingbot）發(fā)起的前十五大攻擊

因此，本期報告首度揭露這些攻擊IP。非僅殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的頻率增加，單是2018年1月就有四個新殭尸物聯(lián)網(wǎng)，而且攻擊者的攻擊方法持續(xù)進化，除了Telnet之外，還瞄準一些協(xié)議，為的是確保能夠盡可能獵殺最多脆弱的IoT裝置，如圖2所示。

▲圖2 透過Telnet實施的網(wǎng)絡攻擊

2Telnet攻擊構筑大規(guī)模殭尸物聯(lián)網(wǎng)

盡管IoT攻擊已擴充至Telnet以外的協(xié)議，不過Telnet暴力攻擊仍然是最普遍使用的手法，數(shù)量從2016到2017成長249%。2017年7～12月期間的攻擊數(shù)量低于前六個月期，然而攻擊層級則和Mirai相當，而且比用來構筑Mirai的數(shù)量還多，如圖3所示。這個攻擊數(shù)量足以構筑許多相當大規(guī)模的殭尸物聯(lián)網(wǎng)，因此縱使數(shù)量減少，但并不表示攻擊者興趣減低或者威脅降低，而是因為過去已有如此眾多Telnet攻擊，因此攻擊者達到一個飽和點。Telnet唾手可得的果實很容易被撿走。

▲圖3 2016年1月至2017年12月每季Telnet攻擊統(tǒng)計

若以過去兩年的Telnet攻擊活動和Telnet殭尸物聯(lián)網(wǎng)被發(fā)現(xiàn)的時候做比較，就可以從數(shù)據(jù)看出安全研究人員總是比攻擊者落后數(shù)個月（若非數(shù)年的話）。已報導的Telnet攻擊，至少已建構九個相當大的殭尸物聯(lián)網(wǎng)，而且還有空間可建構更多殭尸物聯(lián)網(wǎng)，只是目前尚未發(fā)現(xiàn)（圖4）。

▲圖4 來自Thingbot的Telnet攻擊統(tǒng)計

3Mirai殭尸物聯(lián)網(wǎng)正在增長

已知的殭尸物聯(lián)網(wǎng)例如Mirai和Persirai（透過Telnet攻擊）盡管大家普遍知道它們的存在和威脅，但仍繼續(xù)成長。從2017年6月到12月，Mirai在拉丁美洲顯著成長，而在美國、加拿大、歐洲、中東、非洲、亞洲和澳洲也都呈現(xiàn)中度成長，如圖5所示。

▲圖5 2017年12月全球Mirai殭尸物聯(lián)網(wǎng)分布圖

4依照地區(qū)區(qū)分攻擊來源和目標

中國、美國和俄羅斯是三大攻擊國。在這段期間，44%攻擊源自中國，另外44%源自十大攻擊國的第2到第10排名國家，每一個國家占總數(shù)量的10%以下。其余22%源自一些流量少于1%的數(shù)個國家，如圖6所示。

▲圖6 前十名攻擊來源國家

沒有特別突出的IoT攻擊目標國，因為脆弱的IoT裝置無差別地部署在全球。沒有任何國家擁有一個未遭受攻擊的安全IoT部署。在報告的六個月期間，最常遭受攻擊的國家為美國、新加坡、西班牙和匈牙利，如圖7所示。

▲圖7 前十名最常遭受攻擊的國家

5依產(chǎn)業(yè)區(qū)分攻擊

在這段期間，前五十大攻擊自治系統(tǒng)編號（ASN）有80%屬于電信或ISP公司，那正是IoT裝置駐留的地方（相較于主機代管公司的服務器）。若要讓IoT發(fā)動攻擊，就必須駭入這些裝置。

6威脅的下一步？

物聯(lián)網(wǎng)裝置由于安全性很差而且實行全球規(guī)模的廣泛部署，因此必須將它們視為一種迫切的威脅。十年來，它們不但已被駭并且繼續(xù)被當成攻擊的武器，而我們甚至還沒有邁入IoT的大量消費者采納階段。如果不開始著手處理這個問題，可以確定的是，未來將會很混亂。IoT安全性必須靠個人、政府和制造商共同維護，包括全球網(wǎng)民應該做的事、企業(yè)和政府（他們都建置IoT并遭受IoT攻擊）應該做的事、以及IoT制造商應該結(jié)合到產(chǎn)品開發(fā)生命周期的措施，詳如表1。

7將威脅映像到活動主題

殭尸物聯(lián)網(wǎng)是利用被駭?shù)腎oT裝置建構而成，它和傳統(tǒng)殭尸網(wǎng)絡不同的地方在于修復能力。物聯(lián)網(wǎng)裝置典型上都屬于非管理型的裝置。一個遭入侵的IoT裝置被其所有者發(fā)現(xiàn)并予以修復的機會相當?shù)停@正是為什么過了二年還會看到相同的攻擊裝置。惡名昭彰的Mirai也因為如此，不但沒有被毀滅，反而繼續(xù)成長。殭尸物聯(lián)網(wǎng)可以發(fā)動一如傳統(tǒng)殭尸網(wǎng)絡所能的任何攻擊，而且因為它們的規(guī)模而更具危害性。這些陳述和殭尸物聯(lián)網(wǎng)數(shù)據(jù)，可使用于任何討論殭尸網(wǎng)絡流量與攻擊的主題活動。

表1 IoT安全性須由所有人共同維護