物联网恶意软件攻击的剖析

---

对于攻击，攻击者需要击中攻击面，攻击面被描述为设备所有弱点​​的总和。当攻击者识别并熟悉攻击面时，他们会创建攻击载体，攻击者利用攻击载体来查找并利用组织中脆弱的物联网设备，并导致设备执行与其预期目的不同的操作。常见的攻击载体包括：电子邮件中的链接（“如果您需要轻松赚钱，请点击此处”）、下载的软件（“您的 Flash 播放器已过时”），或者即使将鼠标悬停在受感染的广告上也可能为未来的攻击者提供进入途径。

物联网恶意软件攻击

网络安全领域是一个广泛而庞大的主题，超出了本节的范围。但是，了解三种基于物联网的攻击和利用方式是有益的。由于物联网的范围包括硬件、网络、协议、信号、云组件、架构、操作系统以及介于两者之间的所有内容，因此我们现在将详细介绍三种常见的攻击类型 -

Mirai

历史上最具破坏性的拒绝服务攻击来自偏远地区不安全的物联网设备。

震网

一种国家级数字武器，针对控制伊朗核计划的关键且不可逆转损害的现代 SCADA 物联网设备。

连锁反应

一种利用个人局域网网络的利用技术，仅使用光，不需要互联网。

通过了解这种有害行为，工程师可以推断出威慑性创新和流程，以确保缓解类似事件。

物联网攻击是如何发生的？

早期访问

攻击者检查连接，使用快速端口扫描工具来查找具有开放端口的脆弱设备。然后，攻击者获取设备的 IP 地址。

行动

从那时起，利用漏洞或蛮力来执行有效载荷或请求到脆弱的设备。设备的操作系统与 shell 命令混合使用。这会导致将恶意文件下载到操作系统中，该文件执行恶意软件有效载荷，从而执行恶意操作。

持久性

执行的恶意软件有效载荷在设备上保留了剩余部分，阻碍了检测系统并创建新文件。当设备的操作系统 shell 保持打开状态时，会为将来创建持续访问权限。

规避

使用逃避机制可以帮助您避免被发现或检测到。清除系统日志和请求历史记录、用伪造的文件名隐藏有效载荷文件、卸载主机的安全检测工具以及使用反虚拟机和反取证技术是几个示例。

数据获取

现在获取设备上的所有数据。私钥和比特币钱包等敏感文件在此处处理。例如，高级持续威胁攻击利用受影响设备的网络流量收集受感染设备的敏感数据。

命令与控制

根据从 C&C 服务器接收到的命令，恶意软件有效载荷继续执行恶意操作，例如 TCP 泛洪、UDP 泛洪和感染其他设备。HTTP、IRC、P2P 和其他协议用于 C&C 通道。

横向移动

在获得对第一台设备的访问权限后，攻击者使用横向移动技术访问网络的其他脆弱设备，然后单独攻击这些设备。例如，边缘交换机容易受到攻击。然后，它传播到所有关联的物联网设备。

影响

数据加密以勒索赎金、硬盘和数据的完全破坏以及加密货币挖掘利用都是恶意循环对物联网设备可能产生的后果。恶意软件可以“锁定”物联网设备，通过耗尽其处理能力或重置其组件限制来实现。

物联网恶意软件示例

TimpDoor

此恶意软件专门针对 Android 设备，并通过伪造的语音邮件应用程序传播到设备。这份 McAfee 报告描述了不知情的受害者如何收到一条短信，通知他们有语音邮件以及一个链接来安装 TimpDoor 应用程序的 APK 文件（Android 的应用程序分发格式）。

APK 通常（也应该）从 Google 的 PlayStore 安装，因此受害者会获得有关从“未知来源”安装应用程序的分步说明（一个警告，对吧？）。安装短信应用程序后，它会将手机转换为加密流量的中继服务器，目的是攻击设备所有者可以访问的私有公司和家庭网络。

垃圾邮件机器人

电子邮件是垃圾邮件发送者的支柱，他们的真正目标是通过包含诱人主题、色情内容等邮件（称为欺骗性内容）将人们引导到其客户的网站。用于诱骗您点击链接的策略有所不同（“一夜之间减掉 100 磅！立即点击此处！”或“免费获得 iPhone。立即点击此处！”）。

整个过程取决于他们的电子邮件是否出现在您的收件箱中。垃圾邮件发送者面临的主要问题是如何发送邮件以避免被垃圾邮件过滤器捕获，许多垃圾邮件过滤器使用已知被垃圾邮件发送者（如开放中继）使用的基本邮件传输协议 (SMTP) 服务器 IP 地址的“黑名单”。

结论

由于安全性在物联网设备开发生命周期中通常是一个事后考虑的问题，因此加密等安全功能经常被忽略甚至根本没有考虑。该行业正在呼吁嵌入式加密，例如可以处理物联网设备中的加密和身份验证的加密协处理器。如果您正在规划和构建物联网应用程序，则应重视通过网络传输数据（如数据加密过程）。