綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究

來源：編輯：vbeiyou 時間：2021-05-20 02:55人閱讀

RSA作為全球規模最大的網絡安全行業會議,迄今已舉辦30屆,一直著眼于推動全球網絡安全界的共享、創新與進步。2021年RSA大會,綠盟科技脫穎而出,在物聯網安全論壇發表題為《物聯網中基于UDP的DDoS新型反射攻擊研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主題演講,這是中國安全廠商首次登上RSAC大會的主題演講舞臺。綠盟科技創新中心總監劉文懋博士代表綠盟科技的物聯網安全研究團隊進行了主題演講。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖1)

下面,綠盟君與大家一起來學習綠盟科技在RSA2021大會上分享精華:

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖2)

1. ?全球物聯網資產暴露情況隨著越來越多的物聯網設備接入互聯網,物聯網聯網數每天都在增加。通過對互聯網上設備進行掃描,我們發現全球超過70000個開放WS-Discovery、OpenVPN和CoAP協議的物聯網服務。不僅安全廠商可以發現這些物聯網暴露資產,攻擊者也能夠發現這些資產。通過掃描器、僵尸網絡或任何可以使用的工具發現物聯網資產后,這些資產會容易遭到攻擊,以及被利用來進行發起攻擊。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖3)

2. ?美國是遭受放大反射DDoS攻擊影響最大的國家通過物聯網蜜罐捕獲和收集受害者的IP地址,在計算目標IP地址的地理位置后,可以看到美國受放大反射DDoS攻擊的影響最大。無論是勒索軟件還是DDoS攻擊,都可以作為一種黑產服務,此前已經在暗網上出現明碼標價提供租用DDoS服務,而暴露的脆弱物聯網設備成為了黑產潛在的攻擊武器。考慮到美國龐大的商業和IT產業,它成為了網絡犯罪的最大目標。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖4)

3. ?WS-Discovery協議介紹 WS-Discovery是基于UDP的、用于Web服務發現的單播協議。其工作原理是客戶端發送UDP探測消息搜索服務,然后等待應答。該協議具體被濫用的情況是:攻擊者發送一個3字節的請求:3c、aa、3e,并攜帶一個欺騙的源地址,服務會回復一個1590字節的響應。這里使用了BAF(bandwidth amplification factor)帶寬放大系統的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。為了計算BAF,可以將有效負載發送給使用真實源地址公開的所有服務,驗證獲得的響應結果數據。經過測試,發送的請求的長度3字節時,收到的響應的平均長度是1330,計算出BAF數值是443。利用該協議漏洞,通過WS-Discovery可以產生比請求流量大400多倍以上的惡意流量。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖5)

4. ?ADDP幫助攻擊者找到存在Ripple20漏洞的設備 ADDP是高級設備發現協議(Advanced Device Discovery Protocol),是Digi International公司開發的基于UDP的多播協議。借助ADDP,無論網絡如何配置,設備都可以在本地網絡上發現其他設備。經過全網掃描測試,我們發送的請求的長度是14字節,而收到的響應的平均長度是141.7字節,對應的BAF是10.1。事實上,ADDP被許多數碼網絡設備使用,大量這些設備可能存在Ripple20漏洞。因而,攻擊者可以通過發現暴露的ADDP服務,再驗證Ripple20漏洞,則可以發起一些攻擊。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖6)

除了WS-Discovery、ADDP之外,報告還分析了OpenVPN協議的脆弱性,此外綠盟科技在2018、2019和2020年發布的《物聯網安全年報》中分析了SSDP、DHDiscover、Ubiquiti等協議,這些物聯網協議都存在相似的脆弱性:基于UDP、支持單播、響應遠大于請求長度,因而容易被利用發動DDoS攻擊。事實上,在2017年后,利用物聯網協議發動DDoS攻擊儼然成為了攻擊者的重要選擇。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖7)

5. ?一些建議和觀點給物聯網廠商建議: 首先設置首席安全官,組建安全團隊。其次在設計環節,默認禁用服務/設備發現功能,非多播不響應,非內網不響應。最后在運營環節,建立應急響應流程并及時發布安全補丁。給最終用戶和機構的建議: 識別自有的物聯網設備,檢查配置、訪問控制策略;持續地使用網絡空間測繪技術監控暴露資產;構建識別-評估-治理的安全運營閉環,將物聯網安全融入到統一的安全運營體系內。給物聯網客戶的解決方案: 關注城市、企業物聯網安全隱患, 綜合展示物聯網各垂直領域風險態勢,各地區、部門威脅情況,使用綠盟物聯網保護傘解決方案,通過終端SDK、固件檢測、準入網關、物聯卡分析、物聯網安全測評等多個系統的數據,支撐物聯網安全態勢。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖8)

未來一段時間內,更多物聯網協議和設備的漏洞會不斷出現,綠盟科技通過創新中心、格物實驗室、物聯網安全產品部的聯合,起到了研、產、用的結合,通過物聯網保護傘解決方案,為廣大物聯網安全場景客戶提供保駕護航。綠盟科技長期致力于物聯網安全研究,在物聯網sdk、車聯網安全等方面取得了顯著的研究成果。綠盟科技車路協同網絡安全技術方案, 著眼于規模化車路協同應用,采用了車載可信級安全SDK+路側智能安全網關+安全運營平臺端到端的安全聯動架構模式,構建監測、檢測、預警、防御、響應與應急處置安全能力,全面覆蓋感知側、傳輸側、平臺/應用側防護場景,為智能交通領域的網絡安全保駕護航。

綠盟科技劉文懋RSAC主題演講:物聯網中基于UDP的DDoS新型反射攻擊研究(圖9)

通過車聯網終端及平臺探針部署、威脅情報采集等,收集車路協同通信網內安全數據信息,并基于大數據關聯分析處理,形成了主動探測、被動誘捕、流量分析、僵木蠕、DDoS攻擊、APT檢測等安全監測、檢測、預警、防御、響應與應急處置安全能力,結合安全咨詢、滲透測試、全生命周期安全風控等安全服務,構建車路協同安全運營體系;從方案價值看,能夠滿足車路協同安全合規及新基建網絡安全建設安全迫切需求,進一步保障整個車路協同應用安全、可控、健康發展。在綠盟科技官方微信后臺回復“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片。 --------------------------------------------------------- 免責聲明： 1.本文援引自互聯網，旨在傳遞更多網絡信息，僅代表作者本人觀點，與本網站無關。 2.本文僅供讀者參考，本網站未對該內容進行證實，對其原創性、真實性、完整性、及時性不作任何保證。