Девайсы IoT – любимая цель DDoS атак

Вирусы паразитируют на растущем числе устройств интернета вещей, тогда как их владельцы могут даже не подозревать об этом. Количество вирусов, направленное на Интернет вещей (IoT) многократно возросло за прошлый год. В 2015 зарегистрировано рекордное количество атак, при этом зарегистрировано 8 новых семейств вирусов. Истоки более половину всех атак — в Китае и США, но число атак из России, Германии, Нидерландов, Украины и Вьетнама также постоянно растет. Низкий уровень безопасности на многих устройствах интернета вещей делает их легкими целями, а владельцы устройств часто даже не подозревают об их инфицировании.

Только в этом месяце стало известно о крупной DDoS-атаке, запущенной из 3 различных типов ботнетов (ботнеты видеонаблюдения, домашних маршрутизаторов и зараженных веб-серверов). По прогнозам количество таких атак с использованием устройств интернет вещей будет неуклонно расти.

Рисунок 1.Новые семейства уязвимостей. В 2015 число угроз для устройств интернета вещей многократно возросло, и многие уязвимости продолжают быть активными в 2016.

Атаки на устройства интернета вещей предсказывали уже давно, чаще всего речь шла об устройствах автоматизации дома и домашней безопасности. Сегодня политика злоумышленников приняла другую форму: теперь они, как правило, не настолько заинтересованы в собственно «жертве», сколько хотят захватить устройство, чтобы добавить его к ботнету, большинство которых используются для выполнения DDoS-атак.

Наиболее уязвимые устройства

Чаще всего целями злоумышленников являются встраиваемые устройства. Многие из них могут подключаться к интернету, но из-за ограничений операционной системы и мощности обработки данных они, как правило, не содержат каких-либо дополнительных функций безопасности.

Встроенные устройства часто единожды подключаются к электросети, проходят простой процесс установки, после чего о них забывают. Для таких устройств не совершается каких-либо обновлений прошивки, а замене они подлежат только в конце своего жизненного цикла. В результате любая компрометация или инфицирование вирусами проходят незамеченными для владельца, что является сладкой приманкой для злоумышленников.

Китай и США — родина большинства атак

Анализ компании Symantec, в результате которого было собрано множество образцов вредоносных программ, показал, что наибольшее количество атак возникает в Китае, на его долю которых приходится 34% от всех атак в 2016 году. 26% атак исходит из США, дальше следует Россия (9%), Германия (6%), Нидерланды (5%) и Украина (5%). Вьетнам, Великобритания, Франция и Южная Корея замыкают десятку.

Цифры на рисунке обозначают расположение IP-адреса, используемого для запуска вредоносных атак. В некоторых случаях использовались IP-адреса могли являться прокси, использованными для сокрытия истинного местоположения. Самыми частыми угрозами стали Linux. Kaiten. B и Linux. Lightaidra.

Рисунок 2. Top-10 стран-источников атак в 2016 (по числу уникальных адресов)

ТОП паролей

Анализ также показал, каковы самые распространенные пароли, использованные вредоносными программами для входа в устройства. Неудивительно, что сочетание «root» и «admin» лидирует, показывая, что чаще всего никто не меняет пароли по умолчанию.

ТОП имен пользователей	ТОП паролей
root	admin
admin	root
DUP root	123456
ubnt	12345
access	ubnt
DUP admin	password
test	1234
oracle	test
postgres	qwerty
pi	raspberry

Таблица 1. Top 10 логинов и паролей, используемых в ходе атак IoT-девайсов

Самые распространенные угрозы

В то время как вредоносные программы для IoT-девайсов становятся все более изощренными, тот факт, что они используется в основном для DDoS-атак, позволяет выделить несколько общих черт, которые прослеживаются в многообразии существующих вредоносных программ.

Чем шире распространен вирус, тем более прямолинейны злоумышленники. В то время как некоторые вредоносные программы должны быть установлены на устройство вручную, самый распространенный метод состоит в сканировании случайных IP-адресов с открытыми портами Telnet или SSH и с последующим перебором попыток входа с помощью часто используемых учетных данных.

Из-за различных архитектур процессоров, на которых работают встраиваемые устройства, вредоносные программы могут попытаться случайным образом скачать исполняемые файлы бота для нескольких архитектур и запускать их по одному, пока схема не увенчается успехом. В других случаях вредоносная программа может также включать в себя модуль, который выполняет проверку для платформы имеющегося устройства и скачивает правильные файлы бота.

Обычная тактика — использование wget или команды TFTP для загрузки скрипта (.sh), что, в свою очередь, загружает файлы бота. В одном из случаев использовался shell-скрипт, где использовались уличные названия наркотиков, чтобы отличать двоичные файлы бота для разных архитектур.

Рис. 3. Shell-скрипт, используемый для загрузки двоичных бот-файлов для разных архитектур

При выполнении файлов бота будет устанавливаться соединение с C&C сервером в ожидании команд от удаленного мастер-бота. Связь может быть установлена через IRC-канал, и вредоносные программы могут также включать функционал для шифрования трафика на удаленный сервер.

Кроссплатформенные уязвимости

Кросс-компиляция различных архитектур — довольно распространенный факт. В то время как наиболее распространенными целями являются платформы х86, ARM, MIPS и MIPSEL, злоумышленники продолжают расширять число потенциальных целей, а также создают варианты для PowerPC, SuperH и SPARC. Таким образом, список потенциально уязвимых устройств растет, и в него добавляется все больше веб-серверов, маршрутизаторов, модемов, сетевых устройств хранения данных, систем видеонаблюдения и других устройств.

Одна интересная особенность: многие вредоносные программы замечены в способности убивать другие процессы, в частности процессы, принадлежащие другим вирусам. В некоторых старых вариантах эта функция использовалась только для устранения потенциальных конкурентов с зараженного устройства. Наиболее частой причиной является то, что встроенные устройства поставляются с весьма ограниченными системными ресурсами, и вредоносная программа пытается освободить процессор от «лишних» процедур.

Для достижения той же цели, но на основе более сложного подхода, вредоносные программы могут также изменить правила таблицы IP на зараженном устройстве так, чтобы были возможны попытки внешнего доступа только определенного типа. Такие изменения позволяют эффективно блокировать доступ к устройству для других злоумышленников, а также блокировать действия админов (блокирование порта telnet).

DDoS-атаки остаются главной целью вирусов, направленных на устройства IoT. С быстрым ростом интернета вещей увеличение вычислительной мощности в устройствах может вызвать изменения тактики в будущем, и у злоумышленников появятся новые возможности для добычи криптовалют, краж информации и сетевого шпионажа.