綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究

下面,綠盟君與大家一起來學習綠盟科技在RSA2021大會上分享精華:

1.  全球物聯網資產暴露情況

隨著越來越多的物聯網設備接入互聯網,物聯網聯網數每天都在增加。通過對互聯網上設備進行掃描,我們發現全球超過70000個開放WS-Discovery、OpenVPN和CoAP協議的物聯網服務。

不僅安全廠商可以發現這些物聯網暴露資產,攻擊者也能夠發現這些資產。通過掃描器、僵尸網絡或任何可以使用的工具發現物聯網資產后,這些資產會容易遭到攻擊,以及被利用來進行發起攻擊。

2.  美國是遭受放大反射DDoS攻擊影響最大的國家

通過物聯網蜜罐捕獲和收集受害者的IP地址,在計算目標IP地址的地理位置后,可以看到美國受放大反射DDoS攻擊的影響最大。

無論是勒索軟件還是DDoS攻擊,都可以作為一種黑產服務,此前已經在暗網上出現明碼標價提供租用DDoS服務,而暴露的脆弱物聯網設備成為了黑產潛在的攻擊武器。考慮到美國龐大的商業和IT產業,它成為了網絡犯罪的最大目標。

3.  WS-Discovery協議介紹

WS-Discovery是基于UDP的、用于Web服務發現的單播協議。其工作原理是客戶端發送UDP探測消息搜索服務,然后等待應答。該協議具體被濫用的情況是:攻擊者發送一個3字節的請求:3c、aa、3e,并攜帶一個欺騙的源地址,服務會回復一個1590字節的響應。

這里使用了BAF(bandwidth amplification factor)帶寬放大系統的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。為了計算BAF,可以將有效負載發送給使用真實源地址公開的所有服務,驗證獲得的響應結果數據。經過測試,發送的請求的長度3字節時,收到的響應的平均長度是1330,計算出BAF數值是443。利用該協議漏洞,通過WS-Discovery可以產生比請求流量大400多倍以上的惡意流量。

4.  ADDP幫助攻擊者找到存在Ripple20漏洞的設備

ADDP是高級設備發現協議(Advanced Device Discovery Protocol),是Digi International公司開發的基于UDP的多播協議。借助ADDP,無論網絡如何配置,設備都可以在本地網絡上發現其他設備。經過全網掃描測試,我們發送的請求的長度是14字節,而收到的響應的平均長度是141.7字節,對應的BAF是10.1。

事實上,ADDP被許多數碼網絡設備使用,大量這些設備可能存在Ripple20漏洞。因而,攻擊者可以通過發現暴露的ADDP服務,再驗證Ripple20漏洞,則可以發起一些攻擊。

除了WS-Discovery、ADDP之外,報告還分析了OpenVPN協議的脆弱性,此外綠盟科技在2018、2019和2020年發布的《物聯網安全年報》中分析了SSDP、DHDiscover、Ubiquiti等協議,這些物聯網協議都存在相似的脆弱性:基于UDP、支持單播、響應遠大于請求長度,因而容易被利用發動DDoS攻擊。事實上,在2017年后,利用物聯網協議發動DDoS攻擊儼然成為了攻擊者的重要選擇。

5.  一些建議和觀點

給物聯網廠商建議:

首先設置首席安全官,組建安全團隊。其次在設計環節,默認禁用服務/設備發現功能,非多播不響應,非內網不響應。最后在運營環節,建立應急響應流程并及時發布安全補丁。

給最終用戶和機構的建議:

識別自有的物聯網設備,檢查配置、訪問控制策略;持續地使用網絡空間測繪技術監控暴露資產;構建識別-評估-治理的安全運營閉環,將物聯網安全融入到統一的安全運營體系內。

給物聯網客戶的解決方案:

關注城市、企業物聯網安全隱患, 綜合展示物聯網各垂直領域風險態勢,各地區、部門威脅情況,使用綠盟物聯網保護傘解決方案,通過終端SDK、固件檢測、準入網關、物聯卡分析、物聯網安全測評等多個系統的數據,支撐物聯網安全態勢。

未來一段時間內,更多物聯網協議和設備的漏洞會不斷出現,綠盟科技通過創新中心、格物實驗室、物聯網安全產品部的聯合,起到了研、產、用的結合,通過物聯網保護傘解決方案,為廣大物聯網安全場景客戶提供保駕護航。

綠盟科技長期致力于物聯網安全研究,在物聯網sdk、車聯網安全等方面取得了顯著的研究成果。

綠盟科技車路協同網絡安全技術方案, 著眼于規模化車路協同應用,采用了車載可信級安全SDK+路側智能安全網關+安全運營平臺端到端的安全聯動架構模式,構建監測、檢測、預警、防御、響應與應急處置安全能力,全面覆蓋感知側、傳輸側、平臺/應用側防護場景,為智能交通領域的網絡安全保駕護航。

通過車聯網終端及平臺探針部署、威脅情報采集等,收集車路協同通信網內安全數據信息,并基于大數據關聯分析處理,形成了主動探測、被動誘捕、流量分析、僵木蠕、DDoS攻擊、APT檢測等安全監測、檢測、預警、防御、響應與應急處置安全能力,結合安全咨詢、滲透測試、全生命周期安全風控等安全服務,構建車路協同安全運營體系;從方案價值看,能夠滿足車路協同安全合規及新基建網絡安全建設安全迫切需求,進一步保障整個車路協同應用安全、可控、健康發展。

在綠盟科技官方微信后臺回復“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。