Article Learn

2019小米IoT安全峰会-郑聿铭《APT最新发现与趋势分享》

Post by Pa0er at 2020-01-02 14:05:53

此次大会的第七个重磅议题来自FireEye大中华高级顾问-郑聿铭,他给大家带来的议题是《APT最新发现与趋势分享》。他将站在安全厂商的角度给大家分享一些Fire Eye 的研究成果以及他对AIoT安全的一些见解。

Fire Eye是一家美国公司,在近两年才真正进入中国市场。它最早是做沙箱,沙箱的市场占有率达到了40%。除了这个技术,另一个引以为傲的是安全威胁情报,此外,Fire Eye 的应急响应团队也非常强大。通过第一线的安全运营相应服务可以了解很多第一手的资料,再经过专门的安全情报团队进行收集、验证,保证客户可以掌握到最新的动向,进而将这些有用信息灌输到产品中,给客户做服务。

Fire Eye 是一家情报驱动的公司,最核心的技术就是安全威胁情报。我们在这方面的投入非常大,有四百多人的团队专门做情报,还会有安全分析员帮我们验证这些情报。我们在全球有四个安全威胁响应中心,每年都会做大量的应急响应服务。经过这么大规模的投入和实践,可以说Fire Eye 能够捕捉到未知威胁、人所未见的威胁。我们每年都会发布M-Trends公告,分享当前的网络攻击趋势,现在已经跟踪到APT41,虽然是最新的命名,但是跟踪是持续多年的。除了这些威胁行为、黑客行动之外,我们还会整理一份非常翔实的针对性报告分享给客户,里面有很多IOC。

除了具体的APT组织的报告之外,我们还会有一些针对APT目标行业分布的调研类数据或者分享,因为一个做了精细设计的复杂攻击一定是有利可图的,一定会面向最有利可图的行业。     APT已经来到我们的身边,已经无人能够幸免,我们希望能以这些方式,让大家重视APT威胁。

IoT的安全事件近年有很多,例如15年12月Mirai僵尸网络作者对罗格斯大学进行DDoS的攻击。16年10月份,美国最主要的DNS的提供商DYN遭受了DDoS的攻击,导致大量美国用户无法享受域名解析服务。同月,利比里亚最大的电信公司成为了Mirai物联网恶意软件定制版的攻击目标,导致该国部分地区的互联网连接缓慢甚至是完全中断,这个攻击持续了600多次。2018年另外一个僵尸网络卷土重来,对路由器进行了大规模的扫描。

大家可以看到IoT方面的安全事件已经非常之多,造成的危害非常大。那么,IoT安全的现状怎么样?我们用一些数据看一下。

这来自于我们的统计报告,10个智能电视用户中有5个一个多月没有更新软件,10个用户有6个在路由器的整个使用过程中没做过固件更新,有38%的智能手机和平板电脑用户没有运行固件更新。大部分智能设备用户的安全性意识都不太强,这也符合人的习惯,比如大家对各个设备常设一样的密码,觉得对每一项都做更新非常麻烦,这导致IoT的安全现状是引人担忧的。这个统计视图是最容易存在漏洞的设备TOP10,路由器居榜首,接下来是电脑、手机和其它智能设备。那些新增的智能设备往往会被我们忽略它的安全性,比如智能电视、家用的NaaS。

设备的安全性方面可能都存在着一些风险,这也引发了使用者的担忧。报告中也有统计,60%的用户担心身份信息的窃取、敏感信息盗取、恶意软件感染。每10个智能设备用户中有3个担心有人会进入设备摄像头,自己的生活在不知情的情况被记录下来。右边的统计图是存在于智能设备当中排名前几位的漏洞或者后门种类,可以看到DoS是其中之一,还有代码执行,其他一些形式。

接着讲一下具体案例,2018年Fire Eye公司披露了罗技家居智能管理系统Harmony Hub存在的漏洞。它集成了软硬件的智能家居管理连接系统,通过它可以控制所有智能家居相关联的设备,比如恒温器,家庭智能锁,使用该产品的用户会面临严重的安全风险。它涉及的漏洞主要是四个方面,第一没有正当的证书验证,第二不安全的更新过程,第三为了开发目的停留在其中的调试信息,第四是空密码的入户。该漏洞影响的产品范围非常之多。

我们看到罗技的Harmony Hub是通过收发器做传输的,于是找到了一个TTL方式连接Hub上,试图跟它做交互,但是它主要做传输的,没有什么控制信息可以返回。换一个方向,从网络连接的角度去看,因为Hub本身的内置应用可通过蓝牙做配对,我们创建了一个无线AP接入环境,接入hostapd就可以监听所有的程序。它会检查你的固件版本是不是有更新,会把自己当前的版本发到网上看是不是有更新的版本返回,如果有的话就会有一个更新的链接或者响应。我们只是用了自签名的证书做流量监听,但是仍然监听到了网络的响应,就说明它没有做有效的验证。

拿到返回的最新固件链接后,我们对它做了分析,发现其中的镜像主要在Squashfs文件当中,我们用它的firmware-mod-kit工具包获取一些文件,发现里面有各种各样的用于开发调试目的的信息。我们对文件做了检查后发现用户根本没有设置密码,如果在这个位置上留下特定的文件,它在初始的情况就会启动SSHserver,就可以访问路程。

我们发现初始化过程中会获取固件的更新,便尝试劫持固件更新的过程。我们篡改了服务器响应中心的JSON对象,将GetUpdates属性指向自己的IP服务器,再把我们已经修改过的包挂在上面。我们创建了/etc/tdeenable文件,使得启动引导过程中能开启SSH接口进行连接。只要设备重启SSH接口就会自动开启,我们就能以空密码的roote账户连接进去,至此整个Hub就被入侵了。

回顾一下,有很多智能家居或者智能设备当中会像罗技这款产品一样使用通用的处理器和处理架构,攻击者可以利用这些漏洞替换软件包,形成安全威胁或者完全的控制环。这个漏洞当时已经报给了罗技官方做了修复,不管是基于罗技还是任何一个厂家的用户,我们都会建议你及时更新固件,这个安全意识要有。

通过实例我们看到IoT设备确实有它的安全隐患,那么到底该怎么样提升我们的IoT安全呢? Fire Ey也给出了自己的IoT的安全框架,我们认为至少应该涉及到这几个部分:数据、软件、硬件、应用以及整体的安全都是有责任的IoT厂家应该考虑的。用户最担心的隐私、数据安全,传输中的数据安全以及静态存留安全,我们一定要重点考虑。从存储来讲,不光是IoT本身,它访问到的通讯设备以及云端的都是我们需要考虑的点。这是Fire Eye对安全框架的分享和思路。

今天的主题不止是IoT,AIoT还得谈AI。如今已经不仅是万物互联,世界变成了万物智联,万物智联之后一个新技术产生同样会带来新问题。AI到底是什么东西呢?一直有一个说法AI是一把双刃剑,不知道多少人看过这张图,很多玄幻小说会出现这个双刃剑。我们可以正常使用它,善意使用它,黑客同样也可以使用它做恶意的目的。

说一些黑客对机器学习利用的例子,第一个是杀软规模功能更强的恶意软件,以前黑客做绕过杀软的恶意程序可以写一个脚本,现在可以通过对抗性的模型做一个能够确定绕过杀软的恶意软件。

第二个是智能僵尸网络,现在的技术能够让单一的IoT设备互相配合而不是单点作战,像一个蜂群一样各有分工做智能化的僵尸网络攻击行为,这个非常可怕。

第三个鱼叉式攻击,现在在邮件威胁当中频繁出现,大家都很重视它的风险,现在可以基于自然语义的识别以及神经网络的训练为重点人群设计钓鱼邮件的内容,让它更贴心于你关心的事情,更贴心于你真实的生活,你就有更大的几率对这个邮件感兴趣,你相信它,点击它。

第四个威胁情报失去控制,情报即数据,机器学习也是基于数据而来,这里可以有意识的制造大量的误报,让机器学习的模型产生畸变,它就可以绕过你的检测。

第五是未授权的访问,验证码系统会认证人机,但是完全可以通过机器学习的方式自动破解验证系统,这个已经被证实过了。

最后是机器学习引擎中毒,机器学习里面算法很重要,但是数据更重要,如果有人故意对你的数据池放毒,给你一些有问题的数据,会导致你的机器学习引擎被下毒导致瘫痪,这都是黑客利用机器学习可以做的恶意的事情。

大家看了以后可能觉得很可怕,我觉得新的事物,新的技术就是这样,它一定会带来负面的问题,但是我们要拥抱它。狄更斯《双城记》里面的说这是最好的时代,这也是最坏的时代,后面还有一句话这是一个智慧的时代,也是一个愚昧的时代,这是一个信任的时代,也是一个零信任的时代。我觉得我们应该拥抱和喜爱当前的环境,持有正能量,一起在这条道路上砥砺前行。

—   联系我们   —

新浪微博

公众号