绿盟科技的《2017物联网安全年报》[1]中,公开了物联网资产在互联网上的暴露情况,在过去的一年里,格物实验室又进一步对物联网资产的暴露情况进行跟踪,将一些新的发现整理汇总成《2018物联网安全年报》。格物实验室对绿盟威胁情报中心(NTI)[2]提供的国内的暴露资产进行分析发现,至少有40%暴露的物联网资产的网络地址处于频繁变化的状态,大部分变化的资产采用拨号的方式入网。所以无论是描绘暴露物联网资产,还是对威胁的跟踪,考虑资产的变化情况都有着重要的意义。此外,IPv6普及后,资产网络地址变化的现象会大大减少,但物联网资产的暴露数量可能也会剧增。(本文内容摘自《2018物联网安全年报》)

一、暴露物联网资产变化情况

由于全球物联网暴露资产量级较大,为了直观统计,所以本文主要对国内的物联网资产。在我们观测到的物联网资产数据中,摄像头、路由器、VoIP电话暴露数量最多,同时考虑到不同端口的扫描周期有差异以及扫描资源的限制,所以我们重点关注这三类设备,每类设备选取一个暴露较多的端口(摄像头554端口,路由器80端口,VoIP电话5060端口)进行关注。根据不同端口及扫描时长[3]的扫描数据,对各类型的物联网资产的变化情况进行统计分析。因资产扫描是先依照端口及协议创建的扫描任务,再根据扫描的结果来识别资产的具体类型,具体的统计方法和资产扫描的相关描述如图 1.1 所示:先抽取若干个物联网资产数量较为稳定的扫描轮次,并选取最早的扫描轮次为基准数据,统计不同的时间间隔下,资产的变化情况,主要对两个轮次的网络地址和端口所对应的设备类型的没有变化资产数量、消失资产数量和新增资产数量进行统计,再通过多轮对比的统计结果描述每一种设备类型的变化情况。

图1.1 资产扫描及变化对比方法示意图

 

1.1 摄像头

发现1:暴露在互联网上的物联网资产有相当一部分数量的物联网设备是处于不存活或IP频繁变化的状态。

我们发现很多摄像头会开放554端口,使用RTSP协议做视频流的实时传输,所以主要分析开放554端口的摄像头设备的变化情况。先抽取554端口2018年7月到9月内 6个轮次的摄像头资产进行对比,以7月20日 的摄像头资产数量为基准数据,随着间隔时间的增长,资产变化情况如图 1.2 所示。绿色部分为没有变化的资产数量,橙色部分为相比于基准数据消失的资产数量,黄色部分是增加的资产数量。根据几轮的对比数据来看,扫描时长在7天的情况下,国内的544端口摄像头设备总量大概在44万左右,而大约存在40%的物联网资产的网络地址会发生变化,每轮对比中新增和消失的资产持平,总体来说变化量相对稳定,并且变化的资产并没有随着时间间隔的增长而增加。

图1.2 554端口摄像头资产变化情况(扫描周期7天)

从554端口的资产变化情况来看,有相当一部分的摄像头资产的网络地址发生了变化,这个变化的数量可能与扫描时长有关。所以我们接下来将554端口的扫描时长从7天缩短为3天,对11月份554端口的资产变化对比结果进行统计如图 1.3 所示,时隔三个月554端口的摄像头资产总量从44万增加到48万,从图中4轮扫描结果对比可知,扫描时长缩短后资产的网络地址变化量从40%减少到30%,可见缩短扫描时长,可以降低资产的变化数量。但从实现角度考虑,这个扫描时长受扫描机器性能和带宽的限制,广谱资产扫描开销较大,故不能无限缩小,所以下面章节中会采用抽样的方式去验证更短的扫描时长下对资产变化的影响。

图1.3 554端口的摄像头资产变化情况(扫描时长3天)

1.2 路由器

因国内暴露的路由器分布在80端口数量较多,所以接下来针对该端口路由器的变化数量进行分析。抽取国内6个轮次的扫描数据,以2018年7月5日这轮数据为基准数据,对比后发现,开放80端口的路由器数量大约5万左右,每轮对比不变的资产数量均值大约是1.5万,占总资产的30%左右,也就是说每轮基本上都会有70%资产的网络地址发生过变化。

图1.4 80端口的路由器资产变化情况(扫描时长3天)

1.3 VoIP电话

多数VoIP电话会在5060端口开放服务,并使用SIP协议创建、修改和释放一个或多个参与者的网络会话,所以本节主要分析开放5060端口的VoIP电话的变化情况。以2018年8月11日作为基准数据,对5个轮次的资产变化进行统计,如图 1.5 所示:开放5060端口的VoIP电话数量大约有18万左右,变化量比较大,每轮有80%以上的资产的网络地址会发生变化。

图1.5 5060端口VoIP电话资产变化情况(扫描时长7天)

发现2:国内的物联网资产,VoIP电话的网地址变更最频繁,发生过变化的资产占总资产的80%,其次是摄像头和路由器,变化资产分别占70%和40%,但90%的物联网资产的网段分布情况是保持不变的。

从摄像头、路由器和VoIP电话的资产变化对比情况来看,VoIP电话的资产变化数量占比最多,摄像头资产变化相对较少,我们推测资产变化量可能和设备类型有关。从功能角度考虑可能因为摄像头需要提供视频流的访问服务,所以网络服务较为稳定,网络地址相对变化不大;而VoIP电话的可能根据其实际的服务情况会通断会话,导致的网络地址变化较快。以上均为我们的猜测,如果想知道具体的原因,还需要对变化频繁的暴露设备和服务进行具体分析。

二、物联网资产地址变化的原因分析

通过上节对互联网上暴露的摄像头、路由器和VoIP电话资产的网络地址变化进行初步分析,可见即便服务较为稳定的摄像头,变化数量也占其资产总量的40%左右。本节将根据实际扫描数据来分析可能引起暴露资产变化的原因。

2.1 变化资使用拨号方式入网

首先,我们推测资产变化如此频繁可能与设备入网方式有关,如果物联网设备采用ADSL拨号上网的方式,当设备每次断电或重启时,需要重新拨号上网,此时设备的网络地址发生变化有两种可能:第一种,运营商的BRAS设备的DHCP服务分配给该设备的租期已满,需要重新分配一个网络地址;第二种,运营商的BRAS设备的NAT会话超时,需要重新为该设备分配一个外网地址。由于NAT的会话超时时间远小于DHCP租期,所以大部分情况下设备地址变化是第二种情况。

这个变动范围根据运营商的实际分配网段的情况而定,那么基于这个猜想,接下来分析历史的扫描轮次中的物联网设备网络地址在同一网段中的数量情况。

在这里需要定义几个术语。网段映射:即将设备的网络地址(IP地址)取前若干位获得其所属的网络地址。如果我们将设备的网络地址取前24位,则称为C段映射,如取前16位,则称为B段映射,以下不再赘述。

发现3:大量物联网资产的网络地址可映射到同一个网段,且该网段部分为ADSL段。对于两个月累计的摄像头、路由器和VoIP电话的网络地址集合{n},做网段映射得到集合{N},过滤出网段映射N中物联网设备网络地址m并统计大于20的网络地址,其总数占N总网络地址数|n|的41%左右。即|{m|m>20}|/|n|=41%。

对国内2018年8月1日至9月27日将近两个月内出现过的路由器、摄像头和VoIP电话的网络地址进行统计,结果如表 2.1 所示[4],发现确实存在多个设备地址在同一个网段的现象。两个月内路由器、摄像头和VoIP电话暴露的网络地址总量为9,697,872个,其中网络地址数量在20至50个之间的网段共有66,273个,50至100个之间的网段共有21,660个,大于100个的网段共有3,597个。

表2.1 物联网资产同一网段的IP数量分布

类型 同一C段的网络地址数量 总数
20,50] 50,100] 100以上
网段数 66,273 21,660 3,597 1,242,747
网络地址数 2,025,966 1,465,491 453,381 9,697,872

可见,多个物联网设备网络地址映射到C段的数量不少,具体的占比情况如图 2.1 所示,同一网段中网络地址数大于20的网络地址数占网络地址总数的41%,从这个数量来看,多物联网设备地址在同一网段出现的情况是普遍的现象。

物联网设备网络地址在同一网段数量占比情况

出现这种现象,主要有两种猜测:第一,确实有大量的物联网设备同处于一网段;第二,也可能是因为多轮次的扫描数据中,物联网资产的网络地址会在一定的网段范围内频繁变化。第一种猜想确实有可能,但数量偏高,所以接下来会主要分析第二种猜想的可能性。

2.1.2 资产映射网段变化情况

a) 资产C段映射变化统计

前述相当一部分的物联网资产的网络地址可被映射到同一网段,那么接下来就看一下各类型资产的网段映射变化。统计各个类型的物联网资产网络地址的映射网段情况,同样按照上文资产变化的对比方法进行统计,结果如图 2.2 、图 2.3 和图 2.4 所示。国内554端口的摄像头变化网段的数量为35%左右;80端口路由器网段的变化的数量约占30%左右;而5060端口的VoIP电话变化的网段则仅有25%左右。从网段的变化情况来看,摄像头的网段变化和网络地址变化比例接近,路由器的网段变化要比网络地址变化稳定的多,变化量从70%降到30% ,而VoIP电话则更加稳定,变化量从80%降到25%。

图2.2 554端口的摄像头资产C段映射变化(扫描时长7天)

图2.3 80端口的路由器资产C段映射变化(扫描时长3天)

图2.4 5060端口的VoIP资产C段映射变化(扫描时长7天)

从物联网资产C段映射与网络地址的变化对比来看,物联网设备的网段映射变化要比网络地址变化稳定的多。原因是路由器和VoIP电话物联网设备采用拨号等动态方式入网,其分配到的网络地址会经常变更,所以每个扫描轮次的物联网设备的单个网络地址变化较大,而由于运营商的网络地址分配通常会在一个网络地址区间,所以在不同扫描轮次的时间节点设备分配到的多个网络地址会被映射到同一个网段(即文中C端映射或B段映射),所以网络地址对应的网段映射变化却不大。

b) 资产B段映射变化统计

为了进一步验证,我们接下来再增大网段映射的范围,统计一下B段映射的变化情况。如图 2.5 、图 2.6 和图 2.7 所示,三种类型的设备资产所在B网段都几乎没发生变化。按照之前的推测,如果一个物联网设备的网络地址发生变化,其范围也不会超过运营商DHCP服务的地址空间。由于我国的网络地址较少,所以一个DHCP服务的地址空间几乎不会超过一个/16的CIDR网络。所以,下图也验证了前述物联网资产的网络地址是在运营商所分配的网络地址空间范围内变化的推测。

图2.5 554端口的摄像头资产B段映射地址变化情况(扫描时长7天)

图2.6 80端口的路由器资产B段映射地址变化情况(扫描时长3天)

图2.7 5060端口VoIP资产B段映射地址的变化情况(扫描时长7天)

2.1.3 资产变化抽样扫描分析

前面小节分析了物联网资产变化情况,初步推测出物联网资产的网络地址会随着时间在变化,而资产的网段映射却相对稳定,并且网段映射变化量也会随着扫描时长的缩短而减少。这是以针对国内物联网资产的扫描结果作为数据源,接下来将继续抽取物联网设备较多的部分网段进行扫描验证,一方面是为了进一步验证上文的推测的真实性;另一方面也是考虑到受扫描机器性能和带宽的限制,资产扫描轮次的间隔不能无限地缩小,而抽样扫描就很好地避免这个问题,我们能看到在更短扫描时长下的资产变化情况。

出于便于观察和统计的考虑,首先抽取30个历史数据中物联网设备数量大于50的网段作为扫描样本,经测试扫描这30个网段需要2小时,对一天的扫描轮次进行对比,如图 2.8 所示,从每轮的扫描数据来看,30个网段的物联网资产约有1065个,这个总量在每轮扫描中都比较稳定,间隔两个小时的变化还是比较小的,仅有不到20个资产会发生变更,但是随着时间的变长,当间隔10小时的时候,可以看出变化的资产增长到了40个。接下来继续看看这些资产的每天变化情况。

图2.8 抽样网段的资产变化(扫描时长2小时)

对12月17日至25日一周的资产的变化进行统计,以12月17日扫描资产为基准数据,对比结果如图 2.9 所示,发现在间隔2天时,大约有90个资产发生变化,而在间隔一周时,变化资产大约就已经增长到200个左右了。结合小时和天的对比,我们就可以确定了物联网资产变化的结论了,因为是按照网段扫描统计的,在保证每次扫描网段不变的情况,有很大一部分暴露资产,会在一定范围内变化,这个变化量随着时间间隔增大而增多,达到一定量级后趋于稳定。

图2.9 抽样网段一周内资产变化(扫描时长2小时)

发现4:对资产变化频繁的网段抽样进行查询,发现这些网段几乎都是采用ADSL拨号的方式入网。

为了进一步确定导致暴露资产的网络地址变化的原因,我们对抽样的30个资产变化频繁的网段内的网络地址进行查询,发现除了个别被标注为未知外,其余的各个网段中的网络地址应用类型均为ADSL。那么结合上面的网段变化分析,就可以基本确定了我们之前的猜测。因为部分物联网资产采用拨号上网的方式,并且国内扫描一轮时长至少3天,这部分资产在3天内重新拨号入网的概率较大,导致网络地址重新分配,所以我们统计的物联网资产网络地址变化如此频繁。

2.2 变化资产的ASN分布情况

发现5:中国的国信比邻、广东省联通覆盖地址的物联网资产变化率最高,达60%以上,导致这一现象原因可能与资产的分布以及运营商的具体业务有关。

上文初步得出,物联网设备可能会采用拨号上网的方式入网,这样会导致物联网资产的网络地址发生变化,接下来分析变化的物联网资产运营商的分布情况。通过查询网络地址所属的ASN号码[5],可以准确确定其所属的运营商信息。抽取部分轮次的80端口路由器和554端口摄像头变化的资产,并将变化资产的网络地址与ASN数据库进行关联统计,由于部分运营商的网络地址总量较大,考虑增加统计结果的直观性,所以对变化的资产与该运营商总量的占比情况进行统计,经过统计发现,ASN为中国电信骨干网(CHINANET-BACKBONE)的资产数量最多,绿盟科技发布的《2017年物联网资产暴露报告》中提到了了长三角、珠三角等经济发达的地区物联网资产暴露资产数量比较多,再结合中国南方地区主要是电信用户,这个ASN分布与之前的统计结果也相吻合。

具体的变化资产占比情况如图 2.10 和图 2.11 所示,抽取的80端口的路由器变化资产,其中ASN占比最多是北京国信比邻,变化资产数量共5624个,占该ASN资产总量的63%;抽取的554端口的摄像头变化资产ASN占比最多的是中国广东省联通,变化资产数量共4159个,占该ASN资产总量的70%。猜测导致这一现象的原因,一方面可能与国内的物联网资产的分布有关,另一方面与具体运营商的产品和服务有关。如果扫描的时候能对物联网资产数量较多且变化较快的ASN加大关注度,对掌握物联网资产的真实暴露情况也是有帮助的。因为篇幅有限,仅对部分变化的资产的ASN分布进行分析,我们可能在以后的报告或文章中做详尽的分析。

图2.10 80端口摄像头变化的资产运营商分布情况

图2.11 554端口摄像头变化的资产运营商分布情况

三、国内物联网资产真实暴露情况

根据上文分析可知,部分的互联网上暴露的物联网资会频繁变化,所以如果采用历史暴露资产数据表示当前的实际资产数量,一定会是虚高的,我们认为使用国内一轮扫描的数据作为暴露数据,更能真实的描绘互联网的物联网设备暴露情况。于是取扫描数据较为稳定的2018年10月份的一整轮数据,具体如图 3.1 所示,与上文中的累计暴露数据对比来看,国内摄像头的暴露数量从470万下降130万左右,路由器数量下降更为明显, 420万下降到46万,VoIP电话数量从100万下降到21万,总体来说单轮扫描资产相比累计暴露数量均有大幅的下降,这个数量差距同样也可以反映出互联网暴露的资产变化情况。累计的和某一时刻的暴露资产数据,能在不同维度上描绘暴露情况,所以使用者应根据所需场景择优选择。

图3.1 国内扫描一轮的物联网资产暴露情况

四、总结

从物联网资产暴露概况到资产变化分析,再到变化原因分析,我们一步步地佐证了大量暴露的物联网资产的网络地址一直处于频繁变化中的推论。资产地址频繁变化会带来具体的影响,一方面,在物联网设备相关的威胁分析中,如果不考虑资产的网络地址变化因素,那么部分物联网资产威胁关联出现错误,所以攻击事件的时间区间与物联网资产扫描发现的时间区间应互相吻合,或者获知资产的地址变化范围,编写合理的匹配算法,提高互联网上暴露资产威胁分析的准确程度。另一方面,全球有上百亿个设备,却只有40多亿个网络地址,中国只分到了2.9亿个公网地址,所以运营商提供动态拨号入网等方式,来解决网络地址不足的问题。

2018年国家已经开始大力推进IPv6的建设,这将给当前的互联网带来很大的影响。例如使用IPv6后,就不需要使用NAT机制来弥补地址量不足的问题,每台设备均有独立的网络地址,所以物联网资产的暴露数量可能会剧增,面临的整体暴露风险加大,但同时资产地址变化的频率会大大减少,为威胁跟踪降低了难度。

 

最后,感谢绿盟科技威胁情报中心和天枢实验室提供的支持。《2018物联网安全年报》准备发布中,请持续关注!

 

关于格物实验室

绿盟科技格物实验室专注于工业互联网、车联网、物联网等方面的安全研究,曾发现多款工业物联网设备安全漏洞,协助厂商进行安全修复。多次参与国内外知名安全会议并发表专题演讲。积极与相关的厂商进行合作,共同努力创建和谐、稳定的网络安全生态环境。

 

 

 

相关链接

【安全报告】2017物联网安全年报

【专题】物联网安全

 


[1] https://nti.nsfocus.com/pdf/2017_IoT_Security_Report.pdf

[2] https://nti.nsfocus.com/

[4] 考虑可能存在多种类型设备的网络地址在同一网段中情况,我们曾发现过前一个扫描轮次被标记为摄像头的网络地址在下一轮次被标记为路由器。为了避免各类型之间的数据混淆,所以将三种设备的网络地址放到一起,统计同网段暴露设备数量情况。

[5] ASN为自治系统号码,是全球分配的大型网络系统编号

源链接

Hacking more

...