綠盟科技劉文懋RSAC主題演講:物聯(lián)網(wǎng)中基于UDP的DDoS新型反射攻擊研究

RSA作為全球規(guī)模最大的網(wǎng)絡(luò)安全行業(yè)會(huì)議,迄今已舉辦30屆,一直著眼于推動(dòng)全球網(wǎng)絡(luò)安全界的共享、創(chuàng)新與進(jìn)步。2021年RSA大會(huì),綠盟科技脫穎而出,在物聯(lián)網(wǎng)安全論壇發(fā)表題為《物聯(lián)網(wǎng)中基于UDP的DDoS新型反射攻擊研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主題演講,這是中國(guó)安全廠商首次登上RSAC大會(huì)的主題演講舞臺(tái)。綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士代表綠盟科技的物聯(lián)網(wǎng)安全研究團(tuán)隊(duì)進(jìn)行了主題演講。

下面,綠盟君與大家一起來(lái)學(xué)習(xí)綠盟科技在RSA2021大會(huì)上分享精華:

1. 全球物聯(lián)網(wǎng)資產(chǎn)暴露情況

隨著越來(lái)越多的物聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng),物聯(lián)網(wǎng)聯(lián)網(wǎng)數(shù)每天都在增加。通過(guò)對(duì)互聯(lián)網(wǎng)上設(shè)備進(jìn)行掃描,我們發(fā)現(xiàn)全球超過(guò)70000個(gè)開放WS-Discovery、OpenVPN和CoAP協(xié)議的物聯(lián)網(wǎng)服務(wù)。

不僅安全廠商可以發(fā)現(xiàn)這些物聯(lián)網(wǎng)暴露資產(chǎn),攻擊者也能夠發(fā)現(xiàn)這些資產(chǎn)。通過(guò)掃描器、僵尸網(wǎng)絡(luò)或任何可以使用的工具發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)后,這些資產(chǎn)會(huì)容易遭到攻擊,以及被利用來(lái)進(jìn)行發(fā)起攻擊。

2. 美國(guó)是遭受放大反射DDoS攻擊影響最大的國(guó)家

通過(guò)物聯(lián)網(wǎng)蜜罐捕獲和收集受害者的IP地址,在計(jì)算目標(biāo)IP地址的地理位置后,可以看到美國(guó)受放大反射DDoS攻擊的影響最大。

無(wú)論是勒索軟件還是DDoS攻擊,都可以作為一種黑產(chǎn)服務(wù),此前已經(jīng)在暗網(wǎng)上出現(xiàn)明碼標(biāo)價(jià)提供租用DDoS服務(wù),而暴露的脆弱物聯(lián)網(wǎng)設(shè)備成為了黑產(chǎn)潛在的攻擊武器。考慮到美國(guó)龐大的商業(yè)和IT產(chǎn)業(yè),它成為了網(wǎng)絡(luò)犯罪的最大目標(biāo)。

3. WS-Discovery協(xié)議介紹

WS-Discovery是基于UDP的、用于Web服務(wù)發(fā)現(xiàn)的單播協(xié)議。其工作原理是客戶端發(fā)送UDP探測(cè)消息搜索服務(wù),然后等待應(yīng)答。該協(xié)議具體被濫用的情況是:攻擊者發(fā)送一個(gè)3字節(jié)的請(qǐng)求:3c、aa、3e,并攜帶一個(gè)欺騙的源地址,服務(wù)會(huì)回復(fù)一個(gè)1590字節(jié)的響應(yīng)。

這里使用了BAF(bandwidth amplification factor)帶寬放大系統(tǒng)的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。為了計(jì)算BAF,可以將有效負(fù)載發(fā)送給使用真實(shí)源地址公開的所有服務(wù),驗(yàn)證獲得的響應(yīng)結(jié)果數(shù)據(jù)。經(jīng)過(guò)測(cè)試,發(fā)送的請(qǐng)求的長(zhǎng)度3字節(jié)時(shí),收到的響應(yīng)的平均長(zhǎng)度是1330,計(jì)算出BAF數(shù)值是443。利用該協(xié)議漏洞,通過(guò)WS-Discovery可以產(chǎn)生比請(qǐng)求流量大400多倍以上的惡意流量。

4. ADDP幫助攻擊者找到存在Ripple20漏洞的設(shè)備

ADDP是高級(jí)設(shè)備發(fā)現(xiàn)協(xié)議(Advanced Device Discovery Protocol),是Digi International公司開發(fā)的基于UDP的多播協(xié)議。借助ADDP,無(wú)論網(wǎng)絡(luò)如何配置,設(shè)備都可以在本地網(wǎng)絡(luò)上發(fā)現(xiàn)其他設(shè)備。經(jīng)過(guò)全網(wǎng)掃描測(cè)試,我們發(fā)送的請(qǐng)求的長(zhǎng)度是14字節(jié),而收到的響應(yīng)的平均長(zhǎng)度是141.7字節(jié),對(duì)應(yīng)的BAF是10.1。

事實(shí)上,ADDP被許多數(shù)碼網(wǎng)絡(luò)設(shè)備使用,大量這些設(shè)備可能存在Ripple20漏洞。因而,攻擊者可以通過(guò)發(fā)現(xiàn)暴露的ADDP服務(wù),再驗(yàn)證Ripple20漏洞,則可以發(fā)起一些攻擊。

除了WS-Discovery、ADDP之外,報(bào)告還分析了OpenVPN協(xié)議的脆弱性,此外綠盟科技在2018、2019和2020年發(fā)布的《物聯(lián)網(wǎng)安全年報(bào)》中分析了SSDP、DHDiscover、Ubiquiti等協(xié)議,這些物聯(lián)網(wǎng)協(xié)議都存在相似的脆弱性:基于UDP、支持單播、響應(yīng)遠(yuǎn)大于請(qǐng)求長(zhǎng)度,因而容易被利用發(fā)動(dòng)DDoS攻擊。事實(shí)上,在2017年后,利用物聯(lián)網(wǎng)協(xié)議發(fā)動(dòng)DDoS攻擊儼然成為了攻擊者的重要選擇。

5. 一些建議和觀點(diǎn)

給物聯(lián)網(wǎng)廠商建議:

首先設(shè)置首席安全官,組建安全團(tuán)隊(duì)。其次在設(shè)計(jì)環(huán)節(jié),默認(rèn)禁用服務(wù)/設(shè)備發(fā)現(xiàn)功能,非多播不響應(yīng),非內(nèi)網(wǎng)不響應(yīng)。最后在運(yùn)營(yíng)環(huán)節(jié),建立應(yīng)急響應(yīng)流程并及時(shí)發(fā)布安全補(bǔ)丁。

給最終用戶和機(jī)構(gòu)的建議:

識(shí)別自有的物聯(lián)網(wǎng)設(shè)備,檢查配置、訪問(wèn)控制策略;持續(xù)地使用網(wǎng)絡(luò)空間測(cè)繪技術(shù)監(jiān)控暴露資產(chǎn);構(gòu)建識(shí)別-評(píng)估-治理的安全運(yùn)營(yíng)閉環(huán),將物聯(lián)網(wǎng)安全融入到統(tǒng)一的安全運(yùn)營(yíng)體系內(nèi)。

給物聯(lián)網(wǎng)客戶的解決方案:

關(guān)注城市、企業(yè)物聯(lián)網(wǎng)安全隱患, 綜合展示物聯(lián)網(wǎng)各垂直領(lǐng)域風(fēng)險(xiǎn)態(tài)勢(shì),各地區(qū)、部門威脅情況,使用綠盟物聯(lián)網(wǎng)保護(hù)傘解決方案,通過(guò)終端SDK、固件檢測(cè)、準(zhǔn)入網(wǎng)關(guān)、物聯(lián)卡分析、物聯(lián)網(wǎng)安全測(cè)評(píng)等多個(gè)系統(tǒng)的數(shù)據(jù),支撐物聯(lián)網(wǎng)安全態(tài)勢(shì)。

未來(lái)一段時(shí)間內(nèi),更多物聯(lián)網(wǎng)協(xié)議和設(shè)備的漏洞會(huì)不斷出現(xiàn),綠盟科技通過(guò)創(chuàng)新中心、格物實(shí)驗(yàn)室、物聯(lián)網(wǎng)安全產(chǎn)品部的聯(lián)合,起到了研、產(chǎn)、用的結(jié)合,通過(guò)物聯(lián)網(wǎng)保護(hù)傘解決方案,為廣大物聯(lián)網(wǎng)安全場(chǎng)景客戶提供保駕護(hù)航。

綠盟科技長(zhǎng)期致力于物聯(lián)網(wǎng)安全研究,在物聯(lián)網(wǎng)sdk、車聯(lián)網(wǎng)安全等方面取得了顯著的研究成果。

綠盟科技車路協(xié)同網(wǎng)絡(luò)安全技術(shù)方案, 著眼于規(guī)?；嚶穮f(xié)同應(yīng)用,采用了車載可信級(jí)安全SDK+路側(cè)智能安全網(wǎng)關(guān)+安全運(yùn)營(yíng)平臺(tái)端到端的安全聯(lián)動(dòng)架構(gòu)模式,構(gòu)建監(jiān)測(cè)、檢測(cè)、預(yù)警、防御、響應(yīng)與應(yīng)急處置安全能力,全面覆蓋感知側(cè)、傳輸側(cè)、平臺(tái)/應(yīng)用側(cè)防護(hù)場(chǎng)景,為智能交通領(lǐng)域的網(wǎng)絡(luò)安全保駕護(hù)航。

通過(guò)車聯(lián)網(wǎng)終端及平臺(tái)探針部署、威脅情報(bào)采集等,收集車路協(xié)同通信網(wǎng)內(nèi)安全數(shù)據(jù)信息,并基于大數(shù)據(jù)關(guān)聯(lián)分析處理,形成了主動(dòng)探測(cè)、被動(dòng)誘捕、流量分析、僵木蠕、DDoS攻擊、APT檢測(cè)等安全監(jiān)測(cè)、檢測(cè)、預(yù)警、防御、響應(yīng)與應(yīng)急處置安全能力,結(jié)合安全咨詢、滲透測(cè)試、全生命周期安全風(fēng)控等安全服務(wù),構(gòu)建車路協(xié)同安全運(yùn)營(yíng)體系;從方案價(jià)值看,能夠滿足車路協(xié)同安全合規(guī)及新基建網(wǎng)絡(luò)安全建設(shè)安全迫切需求,進(jìn)一步保障整個(gè)車路協(xié)同應(yīng)用安全、可控、健康發(fā)展。

在綠盟科技官方微信后臺(tái)回復(fù)“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）