假设 A与 B是两个曾经建立过连接 的正常蓝牙设备。假设攻击者的目标为 B,且攻击者知道 A的蓝牙 MAC地址。 则攻击者可以根据 A的 MAC地址伪造 一个只支持单边认证的设备 A´。如果攻 击成功,A´ 就可以与 B设备建立连接, 并进行传输数据等操作。 图 1.3BIAS 攻击过程示例 是攻击者通过伪造蓝牙 master 设备发起的 BIAS攻击时的整个认证流程。受害者 Alice与 Bob 是正常通信的两个设备,攻击者 Charlie 伪造成 Bob 向 Alice发起连接时,虽然攻击者不知道共享 密钥 KL,但从认证流程中我们可以看出,攻击者只需要接收 Alice根据 KL派生出的会话密钥 RS 即可, Alice并没有对 Charlie 设备的真实性 进行验证。这就是 BIAS攻击所利用的协议栈弱点。根据报告,此漏洞影响多种蓝牙设备,包括多款 iPhone 、Macbook、iPad 的多个型号。#### 事件分析 BIAS是第一个被披露的与蓝牙身份验证、连接降级相关的安全问题。因为蓝牙连接的建立不需要 用户交互,因此攻击非常隐蔽,危害性 很大,尽管蓝牙 SIG小组已经更新蓝牙核心规范来缓解这一漏洞, 但用户仍需谨慎,并持续关注厂商是否推出固件或软件补丁等修复措施。### DHDiscover :可放大近 倍的新型反射攻击
事件回顾2023 年 3 月,腾讯发布了一篇关于某 DVR被用于反射攻击的文章 [4]。在该次攻击事件中,攻击者 采用了一种新的 UDP反射攻击方法,利用的是某视频监控厂商的设备发现服务(因其探测报文中包含 DHDiscover 字符串,因此,我们将其称之为 DHDiscover 服务)。本次攻击流量规模超过 50Gbps,反 射源区域分布集中于美洲,亚洲,欧洲的众多国家和地区,尤其以韩国、巴西为重灾区。
原理简述类似 WS-Discovery 服务,DHDiscover 被用于局域网内的设备发现,但是因为设备厂商的设计不当, 当一个外部 IP 地址发送服务发现单播报文时,设备也会对其进行回应,加之设备暴露在互联网上,则 可被攻击者用于 DDoS 反射攻击。DHDiscover 服务对应的端口号为 37810。DHDiscover 服务探测报文 长度为 62 字节,设备返回的内容中可以看到关于设备的很多信息,如 MAC地址、设备类型、设备型号、 HTTP Port、设备序列号、设备版本号等。 我们对 DHDiscover 反射攻击 [5]进行了跟踪,发现全球有约 31 万个 IP 开放了 DHDiscover 服务, 存在被利用进行 DDoS 攻击的风险,其带宽放大因子近 200 倍。
事件分析反射攻击存在已久,随着防护能力的增强,攻击手段也在发生变化,并将注意力放在了一 些新的协议上。继去年的 WS-Discovery 反射攻击之后,DHDiscover 反射攻击成为今年出现的一种新的 攻击方法。这两个协议都与设备发现有关,需要引起大家的重视。 由于 DHDiscover 服务暴露数量较多,因此,我们也与相关厂商进行了联系。厂商给我们的反馈是, 其已经在产品中供了 Discovery 启用和关闭功能,但是由于出厂时并不知道客户在互联网还是受限网 络部署设备,因此默认这个功能是开启的,但客户可以选择将这个功能关闭,或者根据实际需求配置防 火墙规则。这种方案依赖于用户的主动介入进行配置,考虑到大量物联网设备运行时几乎没有安全运维, 所以其效果有限。 设备发现类协议设计的初衷是方便局域网内的设备发现,所以,一般在进行设备发现时,采用的是 多播地址。因此,我们认为比较理想的设备发现报文回复策略为:
对多播报文进行回复。如果是单播报文,判断发送方的 IP 地址是否和设备的 IP 地址在同一网段,如果在同一网段则 回复。也可以把这一策略改为判断发送方的 IP 地址是否为局域网 IP 地址。若不为 1、2,则不回复。同时,设备加入 Discovery 回复任意单播报文的功能,可在需要时由 用户开启,但是设备出厂时默认关闭该功能。 黑客伪造新冠病毒页面传播恶意软件 事件回顾2023 年 3 月,研究人员发现有攻击者通过攻击 D-Link与 Linksys 路由器的方式,劫持用户的网络 访问并重定向至伪造的新冠病毒主题页面,通过虚假告示信息诱骗用户下载恶意软件。据发现者统计, 截至 3 月 18 日,已经有逾 6000 人次下载了攻击者提供的恶意软件。
原理简述研究人员认为,攻击者通过弱密码枚举的方式入侵上述品牌的路由器,然后修改 D-Link、Linksys 路由器中的 DNS 配置,将用户流量牵引到恶意页面。当用户连接网络时,用户终端的 Captive Portal Detection 特性会弹出恶意页面,其中攻击者以世界卫生组织 WHO的口吻,示用户下载名为 COVID-19 Inform App的恶意软件。这个恶意软件的本质是 Oski Stealer 窃密木马,包括从用户浏览器 数据中提取登录凭据、窃取加密货币钱包密钥等功能。
事件分析路由器是家庭用户与互联网之间的第一道防线,也是攻击者觊觎的首个风险点。修改路由器的默认 管理密码,关闭路由器的对外暴露的服务端口,减少攻击面,可以有效缓解此类攻击。
小结本章回顾了 2023 年出现的 9 个物联网安全事件,其中前三个与物联网设备的漏洞相关,无论是影 响数亿设备的 Ripple20 漏洞、CallStranger UPnP 漏洞,还是影响数百万设备的 OpenWrt RCE 漏洞,一 方面表明对物联网设备而言,协议制订、底层软件实现以及供应链的任意一环出现漏洞,都可能影响数 量庞大的物联网设备;另一方面对攻击组织而言,将物联网设备相关漏洞利用纳入武器库,利用某一个 漏洞即可感染数量相当的僵尸主机,收益极高。此外,CallStranger UPnP 漏洞的曝光也表明,物联网 使用的协议簇复杂、服务繁多,极有可能存在某些漏洞可被攻击者用于新型 DDoS。 BadPower、特斯拉废弃零件泄露隐私、智能门锁存在安全问题和蓝牙冒充攻击四个事件表明物联 网安全绝不存在定式。BadPower 事件改变了大众对于物联网安全范围的认值,一个小小的充电器也能 被黑客利用,成为手机、电脑的杀手;特斯拉废弃零件泄露隐私事件给车企和大众敲响了警钟,隐私问 题涉及方方面面,当然会包含物联网的各类应用;门锁关乎人身财产安全,若智能门锁制造商不关注自 身产品安全,将门锁暴露在互联网上,还不采取相应的安全机制,用户又何来购买智能门锁的信心;影 响数十亿设备的蓝牙冒充攻击,说明无线安全作为物联网安全重要的一环,不容忽视。 最后,DHDiscover 反射攻击和为何伪造新冠病毒页面传播恶意软件事件与黑客利用物联网设备进 行的攻击有关。近年来,僵尸网络“推陈出新”,不断改变攻击手法,利用物联网服务进行 DDoS 反射 攻击。DHDiscover 反射攻击利用了设备厂商的私有协议,物联网设备的发现协议通常基于 UDP设计, 一旦大规模暴露在互联网上,极有可能被用作反射攻击,需要引起重视。而劫持路由器,利用社会热点 诱导用户下载恶意软件,则说明攻击者已不满足利用物联网设备进行 DDoS,已经开始以物联网设备为 入口,采用社会工程学的方式,来窃取加密货币等