綠盟科技劉文懋RSAC主題演講:物聯(lián)網(wǎng)中基于UDP的DDoS新型反射攻擊研究

RSA作為全球規(guī)模最大的網(wǎng)絡(luò)安全行業(yè)會議,迄今已舉辦30屆,一直著眼于推動全球網(wǎng)絡(luò)安全界的共享、創(chuàng)新與進步。2021年RSA大會,綠盟科技脫穎而出,在物聯(lián)網(wǎng)安全論壇發(fā)表題為《物聯(lián)網(wǎng)中基于UDP的DDoS新型反射攻擊研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主題演講,這是中國安全廠商首次登上RSAC大會的主題演講舞臺。綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士代表綠盟科技的物聯(lián)網(wǎng)安全研究團隊進行了主題演講。

下面,綠盟君與大家一起來學(xué)習(xí)綠盟科技在RSA2021大會上分享精華:

1. 全球物聯(lián)網(wǎng)資產(chǎn)暴露情況

隨著越來越多的物聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng),物聯(lián)網(wǎng)聯(lián)網(wǎng)數(shù)每天都在增加。通過對互聯(lián)網(wǎng)上設(shè)備進行掃描,我們發(fā)現(xiàn)全球超過70000個開放WS-Discovery、OpenVPN和CoAP協(xié)議的物聯(lián)網(wǎng)服務(wù)。

不僅安全廠商可以發(fā)現(xiàn)這些物聯(lián)網(wǎng)暴露資產(chǎn),攻擊者也能夠發(fā)現(xiàn)這些資產(chǎn)。通過掃描器、僵尸網(wǎng)絡(luò)或任何可以使用的工具發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)后,這些資產(chǎn)會容易遭到攻擊,以及被利用來進行發(fā)起攻擊。

2. 美國是遭受放大反射DDoS攻擊影響最大的國家

通過物聯(lián)網(wǎng)蜜罐捕獲和收集受害者的IP地址,在計算目標(biāo)IP地址的地理位置后,可以看到美國受放大反射DDoS攻擊的影響最大。

無論是勒索軟件還是DDoS攻擊,都可以作為一種黑產(chǎn)服務(wù),此前已經(jīng)在暗網(wǎng)上出現(xiàn)明碼標(biāo)價提供租用DDoS服務(wù),而暴露的脆弱物聯(lián)網(wǎng)設(shè)備成為了黑產(chǎn)潛在的攻擊武器。考慮到美國龐大的商業(yè)和IT產(chǎn)業(yè),它成為了網(wǎng)絡(luò)犯罪的最大目標(biāo)。

3. WS-Discovery協(xié)議介紹

WS-Discovery是基于UDP的、用于Web服務(wù)發(fā)現(xiàn)的單播協(xié)議。其工作原理是客戶端發(fā)送UDP探測消息搜索服務(wù),然后等待應(yīng)答。該協(xié)議具體被濫用的情況是:攻擊者發(fā)送一個3字節(jié)的請求:3c、aa、3e,并攜帶一個欺騙的源地址,服務(wù)會回復(fù)一個1590字節(jié)的響應(yīng)。

這里使用了BAF(bandwidth amplification factor)帶寬放大系統(tǒng)的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。為了計算BAF,可以將有效負(fù)載發(fā)送給使用真實源地址公開的所有服務(wù),驗證獲得的響應(yīng)結(jié)果數(shù)據(jù)。經(jīng)過測試,發(fā)送的請求的長度3字節(jié)時,收到的響應(yīng)的平均長度是1330,計算出BAF數(shù)值是443。利用該協(xié)議漏洞,通過WS-Discovery可以產(chǎn)生比請求流量大400多倍以上的惡意流量。

4. ADDP幫助攻擊者找到存在Ripple20漏洞的設(shè)備

ADDP是高級設(shè)備發(fā)現(xiàn)協(xié)議(Advanced Device Discovery Protocol),是Digi International公司開發(fā)的基于UDP的多播協(xié)議。借助ADDP,無論網(wǎng)絡(luò)如何配置,設(shè)備都可以在本地網(wǎng)絡(luò)上發(fā)現(xiàn)其他設(shè)備。經(jīng)過全網(wǎng)掃描測試,我們發(fā)送的請求的長度是14字節(jié),而收到的響應(yīng)的平均長度是141.7字節(jié),對應(yīng)的BAF是10.1。

事實上,ADDP被許多數(shù)碼網(wǎng)絡(luò)設(shè)備使用,大量這些設(shè)備可能存在Ripple20漏洞。因而,攻擊者可以通過發(fā)現(xiàn)暴露的ADDP服務(wù),再驗證Ripple20漏洞,則可以發(fā)起一些攻擊。

除了WS-Discovery、ADDP之外,報告還分析了OpenVPN協(xié)議的脆弱性,此外綠盟科技在2018、2019和2020年發(fā)布的《物聯(lián)網(wǎng)安全年報》中分析了SSDP、DHDiscover、Ubiquiti等協(xié)議,這些物聯(lián)網(wǎng)協(xié)議都存在相似的脆弱性:基于UDP、支持單播、響應(yīng)遠(yuǎn)大于請求長度,因而容易被利用發(fā)動DDoS攻擊。事實上,在2017年后,利用物聯(lián)網(wǎng)協(xié)議發(fā)動DDoS攻擊儼然成為了攻擊者的重要選擇。

5. 一些建議和觀點

給物聯(lián)網(wǎng)廠商建議:

首先設(shè)置首席安全官,組建安全團隊。其次在設(shè)計環(huán)節(jié),默認(rèn)禁用服務(wù)/設(shè)備發(fā)現(xiàn)功能,非多播不響應(yīng),非內(nèi)網(wǎng)不響應(yīng)。最后在運營環(huán)節(jié),建立應(yīng)急響應(yīng)流程并及時發(fā)布安全補丁。

給最終用戶和機構(gòu)的建議:

識別自有的物聯(lián)網(wǎng)設(shè)備,檢查配置、訪問控制策略;持續(xù)地使用網(wǎng)絡(luò)空間測繪技術(shù)監(jiān)控暴露資產(chǎn);構(gòu)建識別-評估-治理的安全運營閉環(huán),將物聯(lián)網(wǎng)安全融入到統(tǒng)一的安全運營體系內(nèi)。

給物聯(lián)網(wǎng)客戶的解決方案:

關(guān)注城市、企業(yè)物聯(lián)網(wǎng)安全隱患, 綜合展示物聯(lián)網(wǎng)各垂直領(lǐng)域風(fēng)險態(tài)勢,各地區(qū)、部門威脅情況,使用綠盟物聯(lián)網(wǎng)保護傘解決方案,通過終端SDK、固件檢測、準(zhǔn)入網(wǎng)關(guān)、物聯(lián)卡分析、物聯(lián)網(wǎng)安全測評等多個系統(tǒng)的數(shù)據(jù),支撐物聯(lián)網(wǎng)安全態(tài)勢。

未來一段時間內(nèi),更多物聯(lián)網(wǎng)協(xié)議和設(shè)備的漏洞會不斷出現(xiàn),綠盟科技通過創(chuàng)新中心、格物實驗室、物聯(lián)網(wǎng)安全產(chǎn)品部的聯(lián)合,起到了研、產(chǎn)、用的結(jié)合,通過物聯(lián)網(wǎng)保護傘解決方案,為廣大物聯(lián)網(wǎng)安全場景客戶提供保駕護航。

綠盟科技長期致力于物聯(lián)網(wǎng)安全研究,在物聯(lián)網(wǎng)sdk、車聯(lián)網(wǎng)安全等方面取得了顯著的研究成果。

綠盟科技車路協(xié)同網(wǎng)絡(luò)安全技術(shù)方案, 著眼于規(guī)模化車路協(xié)同應(yīng)用,采用了車載可信級安全SDK+路側(cè)智能安全網(wǎng)關(guān)+安全運營平臺端到端的安全聯(lián)動架構(gòu)模式,構(gòu)建監(jiān)測、檢測、預(yù)警、防御、響應(yīng)與應(yīng)急處置安全能力,全面覆蓋感知側(cè)、傳輸側(cè)、平臺/應(yīng)用側(cè)防護場景,為智能交通領(lǐng)域的網(wǎng)絡(luò)安全保駕護航。

通過車聯(lián)網(wǎng)終端及平臺探針部署、威脅情報采集等,收集車路協(xié)同通信網(wǎng)內(nèi)安全數(shù)據(jù)信息,并基于大數(shù)據(jù)關(guān)聯(lián)分析處理,形成了主動探測、被動誘捕、流量分析、僵木蠕、DDoS攻擊、APT檢測等安全監(jiān)測、檢測、預(yù)警、防御、響應(yīng)與應(yīng)急處置安全能力,結(jié)合安全咨詢、滲透測試、全生命周期安全風(fēng)控等安全服務(wù),構(gòu)建車路協(xié)同安全運營體系;從方案價值看,能夠滿足車路協(xié)同安全合規(guī)及新基建網(wǎng)絡(luò)安全建設(shè)安全迫切需求,進一步保障整個車路協(xié)同應(yīng)用安全、可控、健康發(fā)展。

在綠盟科技官方微信后臺回復(fù)“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。