物聯網 (IoT)會成為網路勒索的新天地?

 

由各式各樣蒐集和交換資訊的裝置所構成的物聯網向來是網路犯罪集團覬覦的對象,因為 IoT 的普及率正在不斷上升。根據 Gartner 預估,2020 年全球使用中的 IoT 裝置數量將超過 208 億,屆時超過一半以上的企業流程和系統都將運用到 IoT,其中大型企業將是 IoT 營收的主要動力。

然而,網路犯罪集團如何利用這波浪潮?IoT 裝置儘管擁有最新的硬體和應用程式,但大多數卻仍在使用一些過時的通訊協定與作業系統 (OS)。例如,遠端遙控燈泡及 Wi-Fi 連線的車內資訊系統 (In-Vehicle Infotainment,簡稱 IVI),大多使用 Linux 作業系統,並以缺乏安全組譯功能的 C 語言開發。此外,也採用 TCP/IP (1989,RFC 1122)、ZigBee (2004 規格)、CAN 2.0 (1991) 這類過時的通訊協定來連接,歹徒只要成功利用這些通訊協定的漏洞,就能從遠端遙控裝置。

例如,針對 TCP/IP 通訊協定,歹徒可發動中間人攻擊來侵入 IoT 裝置網路,從中攔截裝置的通訊流量,進而遙控裝置。

 

圖 1:TCP/IP 中間人攻擊示意圖。
圖 1:TCP/IP 中間人攻擊示意圖。

歹徒在駭入 IoT 裝置時會經過以下幾個步驟:

敵情偵察與概念驗證 (PoC)

駭客會先針對目標裝置進行一番研究,尋找可能的弱點,並透過概念驗證來發掘可利用的漏洞。這些概念驗證包括:車內資訊系統內建數位音訊廣播接收器可能存在的漏洞,以及連網燈泡的安全認證漏洞,這使得就算是與外界隔離的網路也可能發生資料外洩。

在這個階段,駭客的主要工作包括:

  1. 尋找裝置是否使用預設或內建的登入帳號密碼。
  2. 利用軟體測試工具來攻擊通訊協定的漏洞,如通訊協定或參數測試工具。
  3. 尋找是否有輸入檢查方面的疏失 (如:緩衝區溢位、SQL 隱碼攻擊)。

此外,駭客還有像 Modbus FuzzerCANard 這類開放原始碼的工具可加快整個流程,兩者都能在 Github 程式碼代管服務網站中找到。

圖 2:american fuzzy lop 2.06b 測試工具運作畫面,該軟體可分析大量資料來尋找漏洞。
圖 2:american fuzzy lop 2.06b 測試工具運作畫面,該軟體可分析大量資料來尋找漏洞。

 

 

取得裝置控制權

接下來,駭客將利用找到的漏洞奪取 IoT 裝置的控制權,可能的方式包括:

  • 藉由漏洞攻擊或預設的使用者帳號密碼來進入裝置,接著搜尋可橫向移動的內部網路。
  • 在裝置當中安裝殭屍程式來建立殭屍網路,進一步掌控裝置網路。
  • 發動分散式阻斷服務攻擊 (DDoS),這類攻擊需要大量的資料來癱瘓網路,而分布廣泛的 IoT 裝置正好提供一個良好的環境來發動 DDoS 攻擊。例如,最近發生的一個案例就是利用數以千計遭到殭屍化的監視攝影機來發動 DDoS 攻擊。

    圖 3:利用 TCP/IP 的漏洞來發動 SYN 洪水攻擊 (阻斷服務攻擊的一種)。
    圖 3:利用 TCP/IP 的漏洞來發動 SYN 洪水攻擊 (阻斷服務攻擊的一種)。

 

 

  • 在裝置植入比特幣(Bitcoin) 採礦程式,雖然單一 IoT 裝置的 CPU 運算能力有限,但若集合大量的裝置就能彌補運算能力的不足,足以用來開採比特幣。2014 年 4 月即出現過一個案例是監視系統當中負責錄影的 DVR 裝置遭感染這類惡意程式。【  延伸閱讀:監視攝影機暗藏惡意程式

傷害最大化 

駭客會盡可能對受害者造成最大危害,例如:將車輛的煞車或方向盤鎖死、扭曲畫面讓智慧型電視無法觀賞,甚至讓整個軌道系統停擺。2016 年 6 月,我們發現 FLocker 這個會將 Android 裝置畫面鎖死的勒索病毒 Ransomware (勒索軟體/綁架病毒) 移轉至其他平台,最近更開始綁架智慧型電視。

【  延伸閱讀:Android 智慧型電視後門程式現身,惡意程式恐開家中資訊後門IoE 智慧型電視 smart tv

大多數的 IoT 裝置廠商都將心力放在效能與功能的研發,因而忽略了安全性。此外,像 ShodanZoomEye 這類網路搜尋引擎的出現,讓其安全問題更加嚴重,因為人們可以很容易查到某個連網裝置和電腦系統存在著什麼漏洞。

不過,隨著 IoT 在消費者和企業之間的普及率持續成長,IoT 裝置的安全也開始有所起色。事實上,根據預測,2018 年全球 IoT 安全支出將達到 5.47 億美元。此外,Gartner 也預測 2020 年企業所遭受的網路攻擊當中將有 25% 與 IoT 有關。TeslaFiat Chrysler 兩家車廠即率先實施漏洞懸賞計畫來提升其連網車輛的安全性。在美國,汽車資訊分享與分析中心 (Automotive Information Sharing and Analysis Center,簡稱 Auto-ISAC) 也和 15 家車廠共同訂定了一份車輛網路安全最佳實務原則清單。

【  延伸閱讀:光靠一片CD ,18 秒就能挾持汽車?
car- 汽車被駭

就技術層面而言,儘管網路勒索或勒索病毒確實可能在 IoT 上出現,但在可預見的未來仍不太可能發生。原因是,要駭入 IoT 裝置需要相當的時間和資源。此外,還要根據不同的受害者、企業、產業來調整攻擊手段,才能達到勒索的目的。同時,對於想要以打帶跑方式盡可能擄獲大量受害者並快速致富的勒索病毒作者來說,IoT 顯然仍不可行。

儘管如此,IoT 裝置日益普及、IoT 安全漏洞相對容易攻擊、勒索 IoT 裝置持有人似乎有利可圖,三項因素加起來,使得這項威脅仍不容小覷。雖然,目前並沒有單一萬靈丹可保護規模龐大的連網裝置網路,但若能在 IoT 軟硬體設計之初即內建一套安全稽核機制,再搭配安全的網路閘道、端點監控和即時記錄檔檢查,仍然有助於降低風險。

原文出處:Can Internet of Things be the New Frontier for Cyber Extortion? 作者:Ziv Chang (網路安全解決方案總監)