殭尸物联网的成长与进化势必将带来混乱

根据创新扩散理论（Diffusion of Innovation），目前尚未跨越鸿沟到达物联网（IoT）主流市场采纳（目前的部署数量为84亿，预测2020年将达200～300亿，2035年达到1兆）。被骇的IoT装置试图跨越鸿沟到未来，未来应该是光明且自动化的，但如果不处理好威胁问题的话，未来愿景将无法实现。

F5 Labs与其数据合作伙伴Loryka一起追踪了两年的“猎杀IoT”。主要围绕23端口Telnet暴力攻击，因为它们是破坏物联网设备最简单、最常见危及物联网设备的安全的方式。从威廉希尔官方网站 的角度来看，他们只需要在攻击计划中采取更多步骤，并且针对非标准端口和协议、特定制造商、设备类型或型号，就可以全面发动攻击。例如，至少有4,600万个家庭路由器容易受到攻击。我们已经目睹了攻击者正在演变他们的手段和目标市场，以便像合法企业和金融市场那样透过妥协的物联网设备来赚钱。

该研究也发现，有新的威胁网络和IP地址不断地加入物联网狩猎行列，成为新威胁参与者，并且随着时间的推移，已经演变为一致共存的顶级威胁参与者。它们可能使用受欢迎的网络如托管服务提供商，或电信网络中的住宅物联网设备，利用家庭路由器、无线IP摄影机和DV R透过Telnet进行攻击，并发起DDoS攻击。

1殭尸物联网的威胁持续存在

经过两年的数据分析后，仍然看到同样的威胁IP、网络和国家在发动攻击。这代表若不是恶意流量未被处理，否则就是遭感染的IoT装置没有接受净化，要不然不会一再地看到相同的威胁者。这些攻击建立了强大的殭尸物联网，具备发动全球毁灭性攻击的能力，而安全产业也越来越频繁的发现它们，如图1所示。

▲ 图1 由物联网攻击机器人（Thingbot）发起的前十五大攻击

因此，本期报告首度揭露这些攻击IP。非仅殭尸物联网被发现的频率增加，单是2018年1月就有四个新殭尸物联网，而且攻击者的攻击方法持续进化，除了Telnet之外，还瞄准一些协议，为的是确保能够尽可能猎杀最多脆弱的IoT装置，如图2所示。

▲图2 透过Telnet实施的网络攻击

2Telnet攻击构筑大规模殭尸物联网

尽管IoT攻击已扩充至Telnet以外的协议，不过Telnet暴力攻击仍然是最普遍使用的手法，数量从2016到2017成长249%。2017年7～12月期间的攻击数量低于前六个月期，然而攻击层级则和Mirai相当，而且比用来构筑Mirai的数量还多，如图3所示。这个攻击数量足以构筑许多相当大规模的殭尸物联网，因此纵使数量减少，但并不表示攻击者兴趣减低或者威胁降低，而是因为过去已有如此众多Telnet攻击，因此攻击者达到一个饱和点。Telnet唾手可得的果实很容易被捡走。

▲图3 2016年1月至2017年12月每季Telnet攻击统计

若以过去两年的Telnet攻击活动和Telnet殭尸物联网被发现的时候做比较，就可以从数据看出安全研究人员总是比攻击者落后数个月（若非数年的话）。已报导的Telnet攻击，至少已建构九个相当大的殭尸物联网，而且还有空间可建构更多殭尸物联网，只是目前尚未发现（图4）。

▲图4 来自Thingbot的Telnet攻击统计

3Mirai殭尸物联网正在增长

已知的殭尸物联网例如Mirai和Persirai（透过Telnet攻击）尽管大家普遍知道它们的存在和威胁，但仍继续成长。从2017年6月到12月，Mirai在拉丁美洲显著成长，而在美国、加拿大、欧洲、中东、非洲、亚洲和澳洲也都呈现中度成长，如图5所示。

▲图5 2017年12月全球Mirai殭尸物联网分布图

4依照地区区分攻击来源和目标

中国、美国和俄罗斯是三大攻击国。在这段期间，44%攻击源自中国，另外44%源自十大攻击国的第2到第10排名国家，每一个国家占总数量的10%以下。其余22%源自一些流量少于1%的数个国家，如图6所示。

▲图6 前十名攻击来源国家

没有特别突出的IoT攻击目标国，因为脆弱的IoT装置无差别地部署在全球。没有任何国家拥有一个未遭受攻击的安全IoT部署。在报告的六个月期间，最常遭受攻击的国家为美国、新加坡、西班牙和匈牙利，如图7所示。

▲图7 前十名最常遭受攻击的国家

5依产业区分攻击

在这段期间，前五十大攻击自治系统编号（ASN）有80%属于电信或ISP公司，那正是IoT装置驻留的地方（相较于主机代管公司的服务器）。若要让IoT发动攻击，就必须骇入这些装置。

6威胁的下一步？

物联网装置由于安全性很差而且实行全球规模的广泛部署，因此必须将它们视为一种迫切的威胁。十年来，它们不但已被骇并且继续被当成攻击的武器，而我们甚至还没有迈入IoT的大量消费者采纳阶段。如果不开始着手处理这个问题，可以确定的是，未来将会很混乱。IoT安全性必须靠个人、政府和制造商共同维护，包括全球网民应该做的事、企业和政府（他们都建置IoT并遭受IoT攻击）应该做的事、以及IoT制造商应该结合到产品开发生命周期的措施，详如表1。

7将威胁映像到活动主题

殭尸物联网是利用被骇的IoT装置建构而成，它和传统殭尸网络不同的地方在于修复能力。物联网装置典型上都属于非管理型的装置。一个遭入侵的IoT装置被其所有者发现并予以修复的机会相当低，这正是为什么过了二年还会看到相同的攻击装置。恶名昭彰的Mirai也因为如此，不但没有被毁灭，反而继续成长。殭尸物联网可以发动一如传统殭尸网络所能的任何攻击，而且因为它们的规模而更具危害性。这些陈述和殭尸物联网数据，可使用于任何讨论殭尸网络流量与攻击的主题活动。

表1 IoT安全性须由所有人共同维护