《2023年企业IoT和OT威胁报告》：物联网恶意软件攻击增长400%

在这个万物互联的时代，物联网（IoT）设备无疑改变了我们生活、工作和管理运营技术（OT）环境的方式。总体而言，到2027年，全球物联网设备数量预计将超过290亿，比2023年的167亿大幅增加。

设备和智能技术的激增也为网络犯罪分子提供了更多的机会，他们开始将物联网连接变成一个潜在的威胁，甚至是毁灭性的现实。

为了帮助组织更好地了解当前的物联网形势以及最佳防护措施，Zscaler threatlabz研究团队分析了来自Zscaler Zero Trust Exchange（世界上最大的内联安全云）的设备流量和物联网恶意软件数据，形成了这份《2023年企业IoT和OT威胁报告》。

重要发现

• 物联网设备流量增长18%，这一趋势与物联网和连接设备的稳步采用表现一致。

• 路由器是最易受攻击的设备，因为它们始终连接、无处不在的特性，以及作为网络流量中央控制点的功能，使其成为主要目标。

• 与2022年同期相比，物联网恶意软件攻击增长了400%以上，这凸显了优先防范恶意软件的必要性。

• 制造业是受恶意软件攻击最多的行业，占所有攻击的5%，平均每周受到6000次攻击。

• 僵尸网络活动继续占据主导地位，Mirai和Gafgyt恶意软件家族占攻击有效载荷的66%。

• 自2022年以来，教育领域遭受的恶意软件攻击大幅增加，比例跃升了961%。

• 网络犯罪分子的目标是遗留漏洞，在39个“最受欢迎的漏洞”中就有34个存在三年以上的漏洞。

• 墨西哥和美国是受灾最严重的国家，占攻击总数的3%。

IoT形势概况

IoT领域由全球数十亿台互联设备组成，这些设备有助于提高家庭、工作和娱乐的效率，提供自动化和便利性。如此大规模的连接也导致了日益复杂的威胁形势。了解这一领域的复杂性对于保护网络免受物联网威胁至关重要。

以下是IoT形势的简单概述：

• 消费类设备是“智能的”，也是最常见的，但面向业务流程的物联网产生的流量最多。

• 制造和零售设备占总IoT流量的50%以上，突出了IoT在这些行业的广泛采用和业务关键功能。

• 近三分之二（1%）的物联网流量是通过SSL/TLS进行的，这表明越来越多的组织正在注意对物联网流量进行加密。

• 企业、家庭自动化和娱乐设备产生的明文流量数量最多。

OT行业概述

运营技术（OT）系统是制造业、能源生产和公用事业等行业关键流程的支柱，现在已与物联网设备集成。由于OT领域的特点是在网络安全处于次要地位的时候设计和实施的遗留系统，因此物联网/OT领域极易受到“网络-物理”攻击。此外，员工和第三方供应商需要通过VPN远程访问OT和IIoT（工业物联网）系统，这大大增加了这些系统的攻击面——特别是当VPN漏洞已成为网络犯罪组织的主要攻击媒介时。

提及OT攻击史上的关键时刻，就不得不说发现于2010年的Stuxnet攻击。作为一种复杂的蠕虫病毒，Stuxnet通过破坏工业控制系统，感染了全球超过45000个网络，其中伊朗遭受的攻击最为严重。多模块和零日漏洞的运用，允许它通过USB驱动器和网络连接秘密传播。这起国家支持的攻击活动破坏了伊朗铀浓缩工厂的离心机，同时也强调了物联网和OT背景下关键基础设施的脆弱性。

TOP 5 物联网设备

与两年前相比，物联网设备流量增长了18%，这与物联网和连接设备的稳定采用表现一致。网络连接的物联网设备正充斥在现代企业中，但值得注意的是，它们并非都得到了IT部门的批准。以下是排名前五的物联网设备：

• 机顶盒——将电视连接到互联网和其他应用程序的机顶盒占据了全球最大的物联网流量。

• 智能电视——智能电视占据了娱乐和家庭设备的大部分。

• 智能手表——被入侵的智能手表可能会暴露敏感的企业数据，使其面临被恶意滥用的风险。

• 数据终端——数据采集终端占制造业所有物联网流量的1%。

• 媒体播放器——媒体播放器可以播放各种多媒体内容，如果没有妥善保护，它们可能成为网络攻击的切入点。

消费者物联网设备无处不在——在企业中也是如此

当ThreatLabz研究人员审查向Zscaler云发送流量的物联网设备时，消费者设备名列榜首。这是一个明显的示警：这些通常未经批准的“影子”物联网设备总是渗透到我们的网络中。

三种特定的消费设备类别几乎占据所有物联网设备的一半。个人设备数量最多的类别是电视机顶盒（如Apple TV、Roku、Fire TV等，占比23.9%），其次是智能手表（13.8%）和智能电视（13.3%）。值得注意的是，媒体播放器（9.3%）和数据采集终端（8.5%）等关键业务设备也跻身前五。

【图1：向Zscaler云发送流量的顶级物联网设备类别细分】

驱动业务运营的设备产生的物联网流量最多

企业运营所依赖的物联网设备产生了最多的对外数据流量。大多数物联网流量来自数据采集终端（51.9%），这些终端是用于制造、工程、物流和仓储应用的无线条码读取器。其次是打印机（25.2%）和数字标牌媒体播放器（10.6%）。

【图2：产生最多流量的物联网设备细分】

SSL/TLS加密流量激增

还有一些好消息：62.1%的物联网流量采用SSL/TLS通道，以加密流量实现保护。另一方面，研究还观察到37.9%的流量发生在未加密的明文通道上。这些发现与2020年报告的结果明显不同，当时只有17%的流量使用SSL/TLS。

【图3：SSL/TLS与非SSL流量的比较】

更重要的是，所有观察到的设备都在某种程度上使用了SSL/TLS，但实际加密的通信百分比因设备类型而异。企业和家庭娱乐设备主要使用明文通信。医疗保健、制造和零售设备主要使用加密通信。

【图4：SSL/TLS与纯文本流量在关键领域的对比】

虽然SSL/TLS的流行对于数据隐私和完整性至关重要的部门来说是一个积极的信号，但值得注意的是，加密通道可能（而且经常）被威胁行为者利用，以帮助他们逃避检测，在网络内移动，并在不引起警报的情况下窃取数据。事实上，根据ThreatLabz的《加密数据攻击状态报告》显示，2022年超过85%的攻击是加密的。

这一现实使得组织根据“零信任”原则对所有加密流量进行可见性和检查变得至关重要。

制造业和零售业在物联网活动图表中名列前茅

将流量细分为不同的设备类别，结果显示近90%的流量来自制造、零售和企业设备。

• 制造和零售设备占整体流量的9%，包括3D打印机、地理定位跟踪器、工业控制设备、汽车多媒体系统、数据采集终端和支付终端。

• 企业设备占流量的7%，包括数字标牌媒体播放器、数字录像机、IP相机和电话、打印机和网络设备。

• 医疗设备占流量的9%，其中医疗设备的数量主要来自三家制造商：GE医疗、雅培实验室和Hologic。

• 娱乐和家庭自动化设备占流量的5%，包括数字家庭助理、媒体播放器、机顶盒、智能眼镜、智能家居设备、智能电视和智能手表等。

【图5：垂直物联网设备类别产生的流量比例】

制造业在唯一设备方面处于领先地位

研究观察到，制造业和服务业垂直行业的唯一物联网设备（unique devices）数量最多（如下图所示）。此外，制造业在唯一物联网设备方面处于显著的领先地位，几乎是其他行业的三倍，强调了其对自动化和数字化的强烈追求，甚至将自身定位为利用物联网提高生产效率、产品质量和工业4.0创新的领跑者。

（*工业4.0，也被称为第四次工业革命，是数字技术和工业流程的融合。物联网设备是工业4.0的关键，为整个生产链提供实时数据和连接。）

【图6：垂直领域的唯一设备数量】

零售业产生的物联网流量最多

ThreatLabz的流量分析显示，零售和批发行业贡献了最高的流量，其次是制造业。

【图7：垂直领域的流量分析】

美国是最大的流量目的地

ThreatLabz的研究人员还研究了物联网设备将数据路由到的国家，即“目的地”。结果发现，大多数这种通信是合法的，物联网设备主要被设计用于发送和接收数据。

到目前为止，美国是最大的“目的地”，占流量的96.2%，其次是加拿大和荷兰。排名前十位的“目的地”国家如下所示：

• 美国

• 加拿大

• 荷兰

• 爱尔兰

• 俄罗斯

• 印度

• 波兰

• 德国

• 中国

• 挪威

物联网恶意软件的主要趋势

物联网恶意软件的威胁对组织、个人和政府实体都迫在眉睫。总体而言，与2022年相比，我们看到恶意软件攻击显著增加，被阻止的流量数量增长了五倍，呈现出超过350种独特的攻击有效载荷。Mirai和Gafgyt恶意软件家族继续主导着大多数攻击，凸显了物联网僵尸网络的持续风险。

物联网恶意软件的逐年显著增长进一步证明了网络犯罪组织正在适应不断变化的环境，并继续升级针对企业的物联网恶意软件攻击的规模。

以下是对物联网恶意软件主要趋势的概述：

• 物联网恶意软件攻击增长400%，与2022年相比，被阻止的物联网流量数增加了5倍。

• 350+独特的恶意软件攻击有效载荷，突出物联网恶意软件领域的多样性和漏洞利用的广泛性。

• 66%被拦截的有效负载来自Mirai和gafgyt恶意软件家族，显示出物联网僵尸网络风险的普遍性。

• 近75%被利用的CWEs是命令注入漏洞。这些是未经授权的可执行输入命令，通常用于下载和执行阶段脚本或恶意二进制文件。

• 在过去三年中，39个“最受欢迎的物联网漏洞”中就有34个存在三年以上的漏洞，很明显攻击者正在利用遗留漏洞。

恶意软件对物联网/OT领域的影响

专门针对物联网（IoT）设备的恶意软件趋势已经成为对操作技术（OT）系统的重大威胁。物联网和OT的互联性允许恶意软件从公司网络传播到关键的OT系统，如此一来，不仅会破坏重要的流程，甚至可能危及人类的安全和生命。此外，远程承包商用来连接OT系统的VPN本身已经成为关键的攻击媒介和恶意软件进入网络的另一个入口点。

追踪顶级物联网恶意软件家族

Mirai和Gafgyt继续推动大多数物联网恶意软件攻击。从所阻止的流量来看，仅Mirai就占据了总流量的91%。这些发现与物联网僵尸网络驱动的分布式拒绝服务（DDoS）攻击的报告相一致，在2023年上半年，这些攻击导致全球经济损失高达25亿美元。

不过，物联网恶意软件的范围很广。以下是对顶级物联网恶意软件家族的分析：

Mirai

Mirai是一个僵尸网络，它使用暴力技术通过各种协议攻击物联网设备。Mirai还利用物联网设备的漏洞来感染其他物联网设备。这些目标漏洞大多存在于管理框架中，通过利用它们，网络犯罪分子实现了远程代码执行。受感染的设备通常会变成僵尸程序，成为更大的僵尸大军的一部分。Mirai多年来一直是最多产的物联网恶意软件家族之一，在2016年发动了历史上最大的DDoS攻击。

Gafgyt

Gafgyt是一种感染Linux系统发动DDoS攻击的恶意软件。自2015年源代码泄露以来，这种恶意软件已经产生了许多变种，并且已经感染了数百万台设备，其中大多数是物联网设备，特别是摄像头和DVR。这些僵尸网络造成了高达400gbps的DDoS攻击。

【图8：2023年1 - 6月Zscalercloud中观察到的顶级物联网恶意软件家族】

其他多产的物联网恶意软件家族还包括：

• BotenaGo——该恶意软件发现于2021年，使用了30个漏洞功能，对路由器和物联网设备构成了重大威胁。这是因为它创建了通过端口19412远程控制的后门。

• HiatusRAT——该恶意软件使攻击者能够在感染后远程访问受感染的机器。由于数据包捕获程序，威胁者可以跟踪与文件传输和电子邮件会话相关的路由器端口的活动。

• IoTReaper——该恶意软件僵尸网络感染其他物联网设备以创建全球僵尸网络。它能够从一个设备传播到另一个设备，这意味着一旦它进入网络并开始执行来自C2服务器的命令，它就可以迅速传播。

• Moose——该恶意软件家族主要针对基于linux的消费者路由器。被入侵的设备有两个目的：拦截未加密的网络流量，并为僵尸网络的运营商提供代理服务。

• Mozi——该僵尸网络于2019年被发现，主要通过利用弱用户名和密码或默认用户名和密码来感染易受攻击的物联网设备。一旦设备被入侵，就会自动沦为Mozi僵尸网络的一部分，被恶意行为者操纵。

• Shikitega——这种恶意软件以针对运行linux操作系统的端点和物联网设备而闻名。它通过多阶段感染过程交付，且每个模块负责特定任务。

• Silex——这种恶意软件利用脆弱的或默认的凭据来快速传播和清除固件，将设备变得无用。

• VPNFilter——这种恶意软件通过使用后门帐户和几个已知供应商的漏洞来影响路由器和存储设备。它分为多个阶段，包括初始感染、c2通信和第三阶段，在第三阶段部署有效载荷。

物联网攻击中利用的主要漏洞

在被归类为恶意的二进制文件（可执行文件）中，我们观察到其中31%包含至少一个漏洞。总共有39个不同的漏洞被不同的有效载荷利用。命令注入是最常用的CWE类型，占所有漏洞的近75%。命令注入涉及在精心制作的HTTP请求中注入可执行命令，通常用于下载和执行stagager脚本或恶意二进制文件本身。

在研究发现的39个漏洞中，只有5个在过去三年中被披露，这突显了遗留漏洞的普遍性和风险。最早的漏洞可以追溯到2013年。

以下是所有被利用漏洞的列表，以及它们的CWE：

【图9：利用漏洞的常见弱点条目（CWEs）分布】

路由器是攻击的主要目标

66.7%的攻击目标是路由器。路由器之所以成为物联网恶意软件的目标，归咎于它们始终连接、无处不在的特性，以及作为网络流量中央控制点的功能，且易受固件漏洞的影响。最后一个因素——固件漏洞——是一个常见的问题。今年早些时候，顶级路由器制造商Netgear和ASUS因高度关键的安全漏洞而登上头条就很好地印证了这一点。

尽管有这些警告，关键的路由器漏洞仍然大部分没有得到修补，为新的恶意软件利用和发起DDoS攻击敞开了大门。

【图10：攻击的主要目标设备】

制造业受恶意软件影响最大

总体来看，制造业受到攻击的概率（54.5%）是其他行业的三倍多。食品、饮料、烟草（16.5%）和教育行业（14.1%）分列第二和第三。

由于对运营中断的容忍度较低，制造业面临恶意软件攻击的风险极高。而且，对制造业的攻击可能会产生连锁反应，影响如下其他行业：

• 供应链和物流

• 国防和国家安全

• 财务

• 零售

• 技术

• 建筑和房地产

【图11：物联网恶意软件攻击目标的垂直细分】

教育领域的恶意软件攻击增长最快

教育领域的物联网恶意软件攻击实现了惊人的961%的增长。教育机构一直被认为是“软目标”，因为它们的网络上存储着大量的个人数据，使学生和教育机构都易受攻击。向远程学习的过渡大大拓宽了黑客的攻击面。学校网络中不安全的物联网设备的激增为攻击者提供了更容易的接入点。此外，学校在强大的网络安全措施上的有限投资进一步简化了攻击。

以下是物联网恶意软件攻击的年度对比，展示了百分比变化最大的行业：

墨西哥经历了最多的物联网感染

墨西哥的物联网恶意软件感染率为46.1%，是受感染最严重的国家。感染最严重的四个国家中有三个（墨西哥、巴西和哥伦比亚）都是拉丁美洲国家。虽然采用速度普遍低于亚洲和欧洲等地区，但到2025年，拉丁美洲的物联网连接数量预计将达到13亿，而目前约为8亿。

【图12：经历最多物联网感染的国家】

美国是物联网恶意软件的首要目标

调查结果显示，美国是物联网恶意软件开发者的首要目标，96%的物联网恶意软件是从美国的受感染IoT设备分发的。

【图13：主要的物联网恶意软件托管国家】

2024年预测

1. 易受攻击的物联网设备将成为主要的威胁载体

物联网设备开发人员和制造商缺乏标准化的安全措施，导致攻击者很容易利用漏洞。再加上这些设备的广泛采用，对于攻击者来说，物联网是唾手可得的成果，容易获得可观的经济收益。这将继续导致2024年及以后与物联网相关的攻击增加。

2. 制造业将继续成为物联网攻击的主要目标

制造业遭受的攻击最多（54.5%），平均每周遭受6000次攻击。这种高度的利用活动与其工业4.0转型密切相关，特别是物联网的快速采用。这种增长在研究中表现得很明显：仅数据采集终端（如用于物流、仓储和其他行业的无线条形码扫描仪）就占所有物联网流量的62.1%。

鉴于这种扩展的攻击面，制造企业必须努力全面了解其环境中活跃的物联网设备和漏洞，并防止对企业网络的无限制访问。此外，运营技术（OT）系统必须适应这种数据和连接的涌入，并时刻做好应对准备。

3. 医疗环境中常用的物联网设备将对公众构成更大风险

许多医疗物联网（IoMT）设备及其处理的信息会影响人们的健康乃至人身安全。医疗保健行业处理的数据量极大，并存储着一些最敏感的用户数据，包括PII、健康记录和支付处理信息等。此外，医疗保健行业充斥着运行过时软件、协议和不受支持的操作系统的遗留设备，所有这些都为攻击打开了大门。

4. 人工智能将增强威胁行为者的能力

虽然企业将越来越多地利用人工智能技术来主动缓解威胁，但另一方面，威胁行为者将使用基于人工智能的工具来自动化攻击并规避传统的安全措施，从而导致更具针对性的物联网攻击。

5. 5G将使潜在的物联网和OT目标数量呈指数级增长

随着5G的普及，物联网和运营技术（OT）攻击也将浮出水面。更高的数据速度和更低的延迟将继续推动连接设备的扩散。

6. 行业标准和监管法规变化

随着物联网威胁在未来几年继续升级，预计围绕用户安全和隐私问题的行业标准将影响物联网设备制造商的安全开发实践。此外，将引入更多的监管检查和指令，以规范物联网安全措施，使制造商对其产品的安全负责。不过，在监管机构和设备制造商跟上不断变化的威胁形势之前，组织采取措施保护自己是很重要的。

IoT安全最佳实践

随着物联网设备采用的激增，实施主动的物联网网络安全措施对组织至关重要。对许多组织来说，这可能需要他们将其安全战略现代化。

传统策略和工具无法适应物联网设备的复杂性，导致攻击面暴露，漏洞大开。许多遗留系统不能有效地监控和管理连接的设备，导致威胁行为者可以利用的盲点。此外，使用传统的基于网络的安全工具检查加密的物联网流量过于耗时，并且在某些情况下可能由于无法向这些设备推送证书而无法实现。

想要克服这些挑战并领先于当今的物联网威胁，必须采用多层安全方法，确保物联网生态系统的弹性。以“零信任”的心态进行操作，目标是在漏洞成为问题之前识别它们。

下述这些指导原则可以帮助保护组织免受未来的物联网攻击，并建立一种适应不断变化的威胁的安全文化。

1. 保持对物联网设备的全面可见性

想要保护物联网设备，首先要知道哪些设备连接到企业网络以及这些设备正在做什么。为此，组织可以通过利用分析网络日志以监控通信和活动的解决方案，获得对所有物联网设备（包括非管理设备）的可见性。无论设备位于何处，保持持续的可见性并意识到连接至网络的内容至关重要。

2. 保护管理员凭证并启用MFA

多因素身份验证（MFA）除了要求用户输入密码之外，还要求用户输入第二种验证模式。这一额外的安全层可以阻止攻击者获得用户帐户的访问权限，即便他们已经获得凭据，也能防止攻击者在受损的用户设备中横向移动。

3. 做好修补工作

未打补丁的设备更容易受到攻击。通过启用自动更新并快速修补任何新漏洞，可以确保授权的物联网设备安全。当无法打补丁时，零信任架构可以显著降低未打补丁设备带来的风险。

4. 实施物联网安全框架

禁止物联网设备不受限制地访问网络，将权限限制在它们需要的站点和服务器上。该步骤可以使用“零信任架构”来实现。确保所有用户遵循相同的安全程序也将有助于防止初始妥协。

5. 对员工进行物联网设备安全培训

教育员工将未经授权的设备连接到网络的风险。鼓励他们报告自己连接的任何新设备，并进行安全意识培训，以帮助员工识别和避免对用户设备的攻击。

6. 检查加密流量

攻击大多使用加密通道，而这些通道通常缺乏检查，这使得即使是技能平庸的攻击者也很容易绕过安全控制。组织必须检查所有加密流量，以防止攻击者破坏系统。

7. 实现零信任安全架构

消除隐性信任。使用最低权限访问原则实施网络分段，以确保用户和设备只能访问他们需要的内容。任何需要接入互联网的未经批准的“影子”物联网设备都应该通过流量检查，理想情况下，通过代理阻止企业数据。

8. 保持最新情报

定期了解最新的网络威胁和发展，包括已发布的入侵指标（IoC）和MITRE ATT&CK映射。这些信息可用于培训组织团队，改善安全态势，并有助于防止物联网攻击。

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”，申请加入群聊】

https://www.zscaler.com/resources/industry-reports/threatlabz-2023-enterprise-ioT-ot-threat-report.pdf

原文始发于微信公众号（FreeBuf）：《2023年企业IoT和OT威胁报告》：物联网恶意软件攻击增长400%