洞見RSA 2023：僵尸網絡威脅態勢觀察

2023 年 4 月 24 日，網絡安全行業年度盛會 RSA Conference（美國信息安全大會）在舊金山隆重開幕。自1995年起，RSA Conference每年都會圍繞一個獨特的主題展開交流和討論。此次大會以“Stronger Together” 為主題，議程主要包含安全研討會、沙盒創新大賽、安全技術主題演講等。大會主題切合當下不斷升級、演變的網絡威脅態勢，各安全廠商只有攜手共進、集思廣益，才能夠確保網絡安全方案的多樣化和有效性。值得一提的是，本次會議還引用了海倫凱勒的一句名言對議題進行了升華——“Alone we can do so little；together we can do so much.” 在針對DDoS攻擊方向的研討會中，諾基亞業務線的技術主管Craig Labovitz博士圍繞近年來愈演愈烈的由企業僵尸網絡造成的DDoS攻擊展開了討論。

如今，在云計算 、大數據、AI、在線直播等行業高速增長驅動下，DDoS攻擊態勢也在不斷變化和演進。在2010年到2022年這一區間，大多數DDoS攻擊仍以圍繞IP欺騙的技術手段為主，例如NTP放大攻擊和DNS放大攻擊等資源耗盡攻擊。而自2023年起，這一DDoS攻擊態勢發生了根本性的變化，由企業僵尸網絡生成的DDoS攻擊比例超過了整體攻擊比重的50%，而該類型的攻擊在2021年第二季度僅占整體比重的10%，這一巨量增幅值得整個網絡安全領域引起重視。

而如今在企業、組織中大量應用的IoT(物聯網)設備正是造成這一變化的主要原因之一。根據市場洞察和戰略商業情報提供商IoT Analytics的全球IoT市場預測，我們可以看到全球各種類型IoT設備的活躍數量正逐年遞增。在各類組織、企業中，整合了IoT技術的攝像頭、無線AP（Access Point，即接入點）、HVAC設備（Heating, Ventilation, and Air Conditioning，即采暖通風及空調系統）隨處可見，大量部署的IoT設備為人們的生活和工作帶來了諸多便利和可能，但一些潛在的風險也隨之而來。

截至2022年，由全球IoT設備構成的僵尸網絡所帶來的DDoS攻擊其實并不算猛烈，但這其實是由于ISP（Internet Service Provider，網絡服務供應商）對上行鏈路有著嚴格的限制，也正因如此，目前約70%的受控IoT設備實際上僅能產生不足50Mbps的DDoS攻擊流量。

但自2023年起，整個歐美地區的ISP行業競爭激烈，包括Comcast、Verizon在內的ISP廠商開始升級1G對稱速率，也就是上行、下行鏈路均能實現1Gbps的速率。而這一網絡升級的普及將對僵尸網絡所產生的破壞力帶來指數級的增長。

Craig Labovitz博士針對僵尸網絡進行了深入研究，通過分析諾基亞合作的ISP、客戶所共享的實時數據得到了一些值得分享的信息：

• 觀測到的由IoT設備構成的僵尸網絡的攻擊峰值可以達到1-2Tbps；
• 大多數僵尸網絡的設備規模數量小于5000臺，但仍有少數僵尸網絡有著超過60000臺的驚人規模；
• 從設備類型來看，CPE設備（Customer Premise Equipment，即客戶前置設備，包括但不限于電話機，無線路由器，防火墻，電腦，光貓，AP等）的比重最多，約占35%；攝像頭類設備緊隨其后，約占30%；服務器類設備約占20%；其他類型的設備均小于10%； 

那么究竟為什么IoT設備會這么容易被攻擊者利用呢？根據目前獲取的信息來看，這一現象主要是由于當今世界范圍內的IoT設備存在大量的管理缺陷。大多數已部署的IoT設備沒有禁止向互聯網開放管理權限，且管理員的密碼復雜程度不夠高，加之很多IoT設備部署后缺乏漏洞管理，沒有或者無法及時更新官網補丁，而目前市面上傳播的惡意軟件又具備自我傳播功能，這些原因最終導致IoT設備被DDoS攻擊者大量濫用。

在實際操作上，物聯網設備通常默默開啟telnet遠程登錄功能，以便于運維人員進行遠程管理。而攻擊者可以利用這一問題，通過IP地址掃描來發現存活的物聯網設備，然后再進行端口掃描來判斷該設備是否開啟telnet服務。在這之后攻擊者會嘗試通過弱口令（如各廠商的出廠密碼、admin/123456等簡單的用戶名/密碼組合）進行暴力破解，從而獲得設備的絕對控制權。以下圖為例，當攻擊者發現物聯網設備后，可以輕易地通過該設備的開放端口獲取設備信息，然后通過搜索引擎各類搜索引擎輕易地獲取該型號存在的漏洞問題以及漏洞代碼，如果該設備沒有及時更新補丁，則會輕易的被攻擊者獲取控制權限并加以利用，開展大規模的DDoS攻擊，甚至衍生出黑色產業鏈，將DDoS攻擊作為服務出售給不法分子，也就是臭名昭著的DDoS as a service（DDoS即服務）。 而隨著受控IoT設備僵尸網絡的規模增長，發起100Gbps規模的DDoS攻擊所需的成本也在驟降，由2018年的1000美元驟降至2022年的幾十美金，這對于不法分子而言無疑是一場狂歡，而這一現象也為世界范圍內的企業、組織帶來了巨大的挑戰。