ウイルスはますます多くのIoTデバイスに寄生しますが、ウイルスの所有者はそれを認識していません。 モノのインターネット(IoT)を標的とするウイルスの数は、この1年で何度も増加しています。 2015年には、記録的な数の攻撃が記録され、8つの新しいウイルスファミリが登録されました。 すべての攻撃の半分以上は中国と米国に発生していますが、ロシア、ドイツ、オランダ、ウクライナ、ベトナムからの攻撃の数も絶えず増加しています。 多くのIoTデバイスのセキュリティレベルが低いため、簡単に標的になり、デバイスの所有者は感染に気付かないことがよくあります。
今月だけで、3種類のボットネット (ビデオ監視ボットネット 、ホームルーター、感染したWebサーバー )から開始された大規模なDDoS攻撃について知られるようになりました。 予測によると、モノのインターネットデバイスを使用したこのような攻撃の数は着実に増加します。
図1.脆弱性の新しいファミリー。 2015年には、IoTデバイスに対する脅威の数が何度も増えており、多くの脆弱性は2016年も引き続き活発です。
IoTデバイスへの攻撃は長い間予測されていましたが、ほとんどの場合、ホームオートメーションデバイスとホームセキュリティに関するものでした。 今日、攻撃者のポリシーは別の形を取りました。今では、原則として、デバイスを押収してボットネットに追加するために「犠牲者」にあまり関心がなく、そのほとんどがDDoS攻撃の実行に使用されています。
最も脆弱なデバイス
ほとんどの場合、侵入者は組み込みデバイスを標的にします。 それらの多くはインターネットに接続できますが、オペレーティングシステムとデータ処理能力
の制限により、通常
、追加のセキュリティ機能は含まれていません。
多くの場合、組み込みデバイスは主電源に接続され、簡単なインストールプロセスを経て、忘れられます。 このようなデバイスの場合、ファームウェアの更新は行われず、ライフサイクルの終了時にのみ交換の対象となります。 その結果、侵害やウイルス感染は所有者に気付かれず、攻撃者にとっては甘い餌になります。
中国と米国はほとんどの攻撃の拠点です
マルウェアの多くのサンプルを収集したシマンテックの分析は、2016年にすべての攻撃の34%を占める中国で最も多くの攻撃が発生したことを示しました。 攻撃の26%は米国からのもので、ロシア(9%)、ドイツ(6%)、オランダ(5%)、ウクライナ(5%)が続きます。 ベトナム、イギリス、フランス、韓国がトップ10を閉じました。
図の数字は、悪意のある攻撃を開始する
ために使用される
IPアドレスの場所を示しています。 場合によっては、
使用されるIPアドレスは、実際の場所を隠すために使用されるプロキシである可能性があります。 最も一般的な脅威はLinuxです。 カイテン。 BおよびLinux。 Lightaidra。
図2. 2016年の攻撃元国 トップ10 (一意のアドレス数別)トップパスワード
分析では、マルウェアがデバイスを入力するために使用する最も一般的なパスワードも示しました。 当然のことながら、「root」と「admin」の組み合わせは、ほとんどの場合、デフォルトのパスワードを変更する人はいないことを示しています。
| トップユーザー名 | トップパスワード |
| 根 | 管理者 |
| 管理者 | 根 |
| 二重ルート | 123456 |
| ubnt | 12345 |
| アクセス | ubnt |
| DUP管理者 | パスワード |
| テストする | 1234 |
| オラクル | テストする |
| ポストグレス | qwerty |
| パイ | ラズベリー |
表1. IoTデバイスの攻撃中に使用される上位10のログインとパスワード最も一般的な脅威
IoTデバイス用のマルウェアはより洗練されていますが、それらが主に
DDoS攻撃に使用されているという事実により、さまざまな既存のマルウェアで追跡できるいくつかの一般的な機能を強調することができます。
ウイルスの拡散が広ければ広いほど、攻撃者はより簡単になります。 一部のマルウェアはデバイスに手動でインストールする必要がありますが、最も一般的な方法は、開いているTelnetまたはSSHポートでランダムな
IPアドレスをスキャンしてから、一般的に使用される資格情報を使用してログインを試行することです。
組み込みデバイスが実行されているプロセッサのアーキテクチャが異なる
ため 、マルウェアは複数のアーキテクチャのボット実行可能ファイルをランダムにダウンロードし、スキームが成功するまで一度に1つずつ実行しようとする可能性があります。 また、既存のデバイスのプラットフォームを確認し、正しいボットファイルをダウンロードするモジュールがマルウェアに含まれている場合もあります。
通常の戦術は、wgetまたはTFTPコマンドを使用してスクリプト(.sh)をロードし、次にスクリプト(.sh)がボットファイルをダウンロードすることです。 あるケースでは、ストリートドラッグ名を使用して異なるアーキテクチャのボットバイナリを区別する
シェルスクリプトが使用されました。
図 3.異なるアーキテクチャのバイナリボットファイルをロードするために使用されるシェルスクリプトボットファイルを実行すると、リモート
マスターボットからのコマンドを見越して、C&Cサーバーとの接続が確立されます。 通信は
IRCチャネルを介して確立でき、マルウェアにはリモートサーバーへのトラフィックを暗号化する機能も含まれます。
クロスプラットフォームの脆弱性
さまざまなアーキテクチャの
クロスコンパイルは、かなり一般的な事実です。 最も一般的なターゲットはx86、ARM、MIPS、およびMIPSELプラットフォームですが、攻撃者は潜在的なターゲットの数を増やし続け、PowerPC、SuperH、およびSPARCのオプションも作成し続けています。 したがって、潜在的に脆弱なデバイスのリストが増えており、
Webサーバー 、ルーター、モデム、ネットワークストレージデバイス、ビデオ監視システム、その他のデバイスがますます追加されています。
1つの興味深い機能:多くの悪意のあるプログラムは、他のプロセス、特に他のウイルスに属するプロセスを殺す能力に見られます。 一部の古いバージョンでは、この機能は感染したデバイスから潜在的な競合他社を排除するためにのみ使用されていました。 最も一般的な理由は、組み込みデバイスのシステムリソースが非常に限られているため、マルウェアが「余分な」手順からプロセッサーを解放しようとしていることです。
同じ目的を達成するために、より高度なアプローチに基づいて、マルウェアは特定の種類の外部アクセスのみが可能になるように、感染したデバイスのIPテーブルルールを変更することもできます。 このような変更は、他の侵入者のデバイスへのアクセスを効果的にブロックし、管理者のアクションをブロックします(telnetポートをブロックします)。
DDoS攻撃は、IoTデバイスを標的とするウイルスの主な標的です。 モノのインターネットの急速な成長に伴い、デバイスのコンピューティングパワーの増加は将来戦術的な変化を引き起こす可能性があり、攻撃者は暗号通貨マイニング、情報盗難、ネットワークスパイの新たな機会を得るでしょう。