RSA作為全球規(guī)模最大的網絡安全行業(yè)會議,迄今已舉辦30屆,一直著眼于推動全球網絡安全界的共享、創(chuàng)新與進步。2021年RSA大會,綠盟科技脫穎而出,在物聯網安全論壇發(fā)表題為《物聯網中基于UDP的DDoS新型反射攻擊研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主題演講,這是中國安全廠商首次登上RSAC大會的主題演講舞臺。綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士代表綠盟科技的物聯網安全研究團隊進行了主題演講。

下面,綠盟君與大家一起來學習綠盟科技在RSA2021大會上分享精華:

1. 全球物聯網資產暴露情況

隨著越來越多的物聯網設備接入互聯網,物聯網聯網數每天都在增加。通過對互聯網上設備進行掃描,我們發(fā)現全球超過70000個開放WS-Discovery、OpenVPN和CoAP協議的物聯網服務。

不僅安全廠商可以發(fā)現這些物聯網暴露資產,攻擊者也能夠發(fā)現這些資產。通過掃描器、僵尸網絡或任何可以使用的工具發(fā)現物聯網資產后,這些資產會容易遭到攻擊,以及被利用來進行發(fā)起攻擊。

2. 美國是遭受放大反射DDoS攻擊影響最大的國家

通過物聯網蜜罐捕獲和收集受害者的IP地址,在計算目標IP地址的地理位置后,可以看到美國受放大反射DDoS攻擊的影響最大。

無論是勒索軟件還是DDoS攻擊,都可以作為一種黑產服務,此前已經在暗網上出現明碼標價提供租用DDoS服務,而暴露的脆弱物聯網設備成為了黑產潛在的攻擊武器?？紤]到美國龐大的商業(yè)和IT產業(yè),它成為了網絡犯罪的最大目標。

3. WS-Discovery協議介紹

WS-Discovery是基于UDP的、用于Web服務發(fā)現的單播協議。其工作原理是客戶端發(fā)送UDP探測消息搜索服務,然后等待應答。該協議具體被濫用的情況是:攻擊者發(fā)送一個3字節(jié)的請求:3c、aa、3e,并攜帶一個欺騙的源地址,服務會回復一個1590字節(jié)的響應。

這里使用了BAF(bandwidth amplification factor)帶寬放大系統的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。為了計算BAF,可以將有效負載發(fā)送給使用真實源地址公開的所有服務,驗證獲得的響應結果數據。經過測試,發(fā)送的請求的長度3字節(jié)時,收到的響應的平均長度是1330,計算出BAF數值是443。利用該協議漏洞,通過WS-Discovery可以產生比請求流量大400多倍以上的惡意流量。

4. ADDP幫助攻擊者找到存在Ripple20漏洞的設備

ADDP是高級設備發(fā)現協議(Advanced Device Discovery Protocol),是Digi International公司開發(fā)的基于UDP的多播協議。借助ADDP,無論網絡如何配置,設備都可以在本地網絡上發(fā)現其他設備。經過全網掃描測試,我們發(fā)送的請求的長度是14字節(jié),而收到的響應的平均長度是141.7字節(jié),對應的BAF是10.1。

事實上,ADDP被許多數碼網絡設備使用,大量這些設備可能存在Ripple20漏洞。因而,攻擊者可以通過發(fā)現暴露的ADDP服務,再驗證Ripple20漏洞,則可以發(fā)起一些攻擊。

除了WS-Discovery、ADDP之外,報告還分析了OpenVPN協議的脆弱性,此外綠盟科技在2018、2019和2020年發(fā)布的《物聯網安全年報》中分析了SSDP、DHDiscover、Ubiquiti等協議,這些物聯網協議都存在相似的脆弱性:基于UDP、支持單播、響應遠大于請求長度,因而容易被利用發(fā)動DDoS攻擊。事實上,在2017年后,利用物聯網協議發(fā)動DDoS攻擊儼然成為了攻擊者的重要選擇。

5. 一些建議和觀點

給物聯網廠商建議:

首先設置首席安全官,組建安全團隊。其次在設計環(huán)節(jié),默認禁用服務/設備發(fā)現功能,非多播不響應,非內網不響應。最后在運營環(huán)節(jié),建立應急響應流程并及時發(fā)布安全補丁。

給最終用戶和機構的建議:

識別自有的物聯網設備,檢查配置、訪問控制策略;持續(xù)地使用網絡空間測繪技術監(jiān)控暴露資產;構建識別-評估-治理的安全運營閉環(huán),將物聯網安全融入到統一的安全運營體系內。

給物聯網客戶的解決方案:

關注城市、企業(yè)物聯網安全隱患, 綜合展示物聯網各垂直領域風險態(tài)勢,各地區(qū)、部門威脅情況,使用綠盟物聯網保護傘解決方案,通過終端SDK、固件檢測、準入網關、物聯卡分析、物聯網安全測評等多個系統的數據,支撐物聯網安全態(tài)勢。

未來一段時間內,更多物聯網協議和設備的漏洞會不斷出現,綠盟科技通過創(chuàng)新中心、格物實驗室、物聯網安全產品部的聯合,起到了研、產、用的結合,通過物聯網保護傘解決方案,為廣大物聯網安全場景客戶提供保駕護航。

綠盟科技長期致力于物聯網安全研究,在物聯網sdk、車聯網安全等方面取得了顯著的研究成果。

綠盟科技車路協同網絡安全技術方案, 著眼于規(guī)?；嚶穮f同應用,采用了車載可信級安全SDK+路側智能安全網關+安全運營平臺端到端的安全聯動架構模式,構建監(jiān)測、檢測、預警、防御、響應與應急處置安全能力,全面覆蓋感知側、傳輸側、平臺/應用側防護場景,為智能交通領域的網絡安全保駕護航。

通過車聯網終端及平臺探針部署、威脅情報采集等,收集車路協同通信網內安全數據信息,并基于大數據關聯分析處理,形成了主動探測、被動誘捕、流量分析、僵木蠕、DDoS攻擊、APT檢測等安全監(jiān)測、檢測、預警、防御、響應與應急處置安全能力,結合安全咨詢、滲透測試、全生命周期安全風控等安全服務,構建車路協同安全運營體系;從方案價值看,能夠滿足車路協同安全合規(guī)及新基建網絡安全建設安全迫切需求,進一步保障整個車路協同應用安全、可控、健康發(fā)展。

在綠盟科技官方微信后臺回復“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）