I. Genel Bakış
IoT cihazları tarafından başlatılan önceki saldırılara göre çoğu sel saldırılarıdır. Kötü şöhretli mirai virüsü, IoT cihazlarının güvenlik açıklarından yararlanır, çok sayıda IoT cihazını istila eder ve DDoS saldırılarını uygulamak için bir botnet oluşturur. Ancak, bu saldırı önceki flooding saldırılarından farklıdır.Bu saldırı, bir yansıma ve büyütme DDoS saldırısı başlatmak için UDP protokolünü kullanmak için Nesnelerin İnterneti özelliklerini kullanır.
2. Saldırı araştırması
Zhiyun Shield sistemi bir saldırı tespit ettiğinde, saldırı trafiğini otomatik olarak örnekleyecek ve güvenlik uzmanları örnek paket üzerinde zamanında derinlemesine analizler ve tatbikatlar gerçekleştirecek. Bu saldırıya toplam 1665 yansıma kaynağı dahil oldu.
2.1 Saldırı paketi analizi
Zhiyun Shield'ın saldırı örnekleme paketinde, yansıyan trafiğin kaynak bağlantı noktasının 3702 olduğu ve aşağıdaki şekilde bulunan kırmızı okun yansıma kaynak bağlantı noktasını işaret ettiği bulunmuştur:
Şekil 1 Örnek paketteki saldırı kaynağı bağlantı noktası diyagramıVeri paketindeki yük, veri formatının soap xml olduğunu gösterir. Soap xml veri formatı, aşağıdaki Şekil 2'de gösterilmektedir:
Şekil 2 soap xml veri içeriğiBurada, veri paketinin yük içeriğini aşağıdaki Şekil 3'te gösterildiği gibi ayrı ayrı çıkarıyoruz:
Şekil 3 Sabun xml veri içeriği ayrı olarak çıkarılırBu saldırıya yanıt olarak, analiz için Zhiyun Shield Tehdit Merkezi'nden karşılık gelen istek trafik verilerini aldık Bu, ONVIF protokolünü kullanan bir yansıma saldırısıdır. Zhiyundun güvenlik uzmanları, bu yansıma saldırısının önceki yansıma saldırılarına benzer olduğunu analiz etti, ancak fark, yansıma kaynağı olarak IoT cihazlarının kullanımında yatıyor.
Aşağıdakiler, yansıtma saldırılarının ilkesini ayrıntılı olarak açıklayacaktır.
2.2 Saldırı prensibi
Yansıma türü DDoS saldırısı, kurbanın IP'sine doğrudan saldırmaz, ancak kurbanın IP'sinden UDP veri paketleri oluşturur ve sahte veri paketlerini yansıma kaynağına gönderir. Yansıma kaynağının kurbanın IP'sine yanıt verdiği trafik, saldırganın sahte UDP'sini çok aşar Trafik verileri için, DDoS korsanları kurbanlara DDoS saldırıları uygulamak için bu yöntemi kullanır. Yansıma türü aşağıdaki Şekil 4'te gösterilmektedir:
Şekil 4 Yansıma saldırısının şematik diyagramıŞekil 4'te, bilgisayar korsanı yükselticiye sahte bir UDP paketi gönderir.Zhiyundun ekibinin DDoS olay saldırısını tekrarlamasından ve standart WS-DISCOVERY istek paketinin değiştirilmesinden sonra, değiştirilen yük dizesi aşağıdaki gibidir:
< sabun: Zarf > < sabun: Başlık > < wsa: Eylem > < / wsa: Eylem > < wsa: MessageID > urn: uuid: < / wsa: İleti Kimliği > < wsa: To > < / wsa: To > < / soap: Başlık > < sabun: Vücut > < tns: Prob / > < / soap: Gövde > < / soap: Zarf >UDP iletim yöntemini kullanarak, dizeyi belirtilen hedefin 3702 numaralı bağlantı noktasına gönderin ve sunucu bir WS-DISCOVERY yanıt paketi döndürür. WS-DISCOVERY tarafından tanımlanan soap xml formatı karşılanmazsa, arabirim istek paketini yanıt vermeden atar.
2.3 Büyütme
Yansıma büyütme ile ilgili önceki araştırmamıza göre, bilimsel istatistiksel büyütme kullanıldığında, istek yanıtının başlığı ve hatta ağ boşluğu dikkate alınmalıdır.
Zhiyun Shield Tehdit Merkezi tarafından ele geçirilen bilgisayar korsanının yansıma saldırısının istek paketini yeniden oluşturmaya çalıştık ve istek içeriğini optimize ederek isteğin yük boyutunu 211 bayta düşürdük ve tek bir video cihaz adresine yanıt olarak yanıt paketi uzunluğu 1515 bayt (parçalanmayla, parçanın başlığı 34 + 4 + 20 = 58), aşağıdaki şekil 5 yinelenen bir ekran görüntüsüdür:
Şekil 5 WS-DISCOVERY yinelenen ekran görüntüsüYani hesaplanan büyütme oranı (1515 + 66 + 58) / (211 + 66) = 5.92 kat.
Zhiyun Shield saldırı örnek paketinin gerçek durumundan, yanıt içeriğinin 3 yanıt paketine bölünmüş 3558 bayta kadar uzun olduğu ve toplam uzunluğun 3558 + 66 + 58 * 2 = 3740 bayta ulaşabileceği bulunmuştur. Bu durumda maksimum büyütme 3740/277 = 13,5 kattır.
Bu nedenle, mevcut gözlemlerden, büyütmenin 5-14 kat olduğunu tahmin ediyoruz.
Üç, yansıma kaynağı analizi
Zhiyundun güvenlik uzmanları, yansıma kaynağı IP'si üzerinde bir anket yaptılar ve kullanılan yansıma kaynağının ana kaynağının video kamera ekipmanı olduğunu buldular.Bu cihazların IP'si dünya çapında 60 ülke ve bölgeyi kapsıyordu. Yansıma kaynaklarının çoğu Tayvan, Macaristan ve Amerika Birleşik Devletleri'nde bulunmaktadır.
Bu cihazların tümü, iletişim yönetimi protokolü olarak ONVIF protokolünü kullanır.
3.1 ONVIF protokolüne giriş
ONVIF, küresel bir açık arabirim standardı aracılığıyla güvenlik pazarında ağ videosu uygulamasını teşvik etmeyi taahhüt eder Bu arabirim özelliği, farklı üreticiler tarafından üretilen ağ video ürünlerinin birlikte çalışabilirliğini sağlayacaktır. ONVIF şartnamesinin cihaz yönetimi ve kontrol bölümünde tanımlanan arayüzler Web Servisleri şeklinde sağlanır. Sunucu ve müşteri arasındaki veri etkileşimi soap xml veri formatını benimser.
Hacker tarafından bu kez kullanılan WS-DISCOVERY arayüzü ONVIF protokolü tarafından tanımlanan bir cihaz keşif arayüzüdür ve veri aktarımı UDP tarafından gerçekleştirilir.
3.2 WS-DISCOVERY arayüz hatası
ONVIF protokolü, cihaz keşfini ve tespitini desteklemek için ONVIF protokol hizmetlerini uygulayan cihazları gerektirir. Cihaz keşfi, aşağıda bahsedeceğimiz WS-DISCOVERY'dir.
WS-DISCOVERY, istemci yansıma kaynağı IP'sinin 3702 numaralı bağlantı noktasına bir yayın mesajı gönderir ve ağdaki ONVIF protokol cihazının kendi IP, UUID, EP Adresi ve diğer bilgilere yanıt vermesini bekler.
Açıkçası, hizmet sağlamak için genel ağda açığa çıkan UDP bağlantı noktası, isteğin boyutu ile yanıt arasındaki 1: 1 ilişkisini kesinlikle izlemelidir.Ancak, ONVIF tarafından cihaz algılaması için kullanılan 3702 bağlantı noktası bu prensibi takip etmez ve bu da genel ağa maruz kalmaya neden olur 3702 numaralı bağlantı noktası, yansıma kaynağı olarak kullanılır.
3.3 ONVIF protokol portu 3702'nin genel ağ maruziyet durumu
SHODAN'dan 3702 ile ilgili bağlantı noktalarının aranması, dünya çapında yaklaşık 210.000 ana bilgisayarın 3702 numaralı bağlantı noktasını açığa çıkardığını ortaya çıkardı. ONVIF protokolünü destekliyorlarsa, aşağıdaki Şekil 6'da gösterildiği gibi bir yansıma kaynağı saldırısı olarak kullanılabilirler:
Şekil 63702 bağlantı noktası dağıtım haritası (shodan.io'dan gelen veriler)Zhiyun Shield tarafından yakalanan saldırı olayında yer alan yansıma kaynaklarının analizi, kamu ağında açığa çıkan çok sayıda Nesnelerin İnterneti cihazını içerir, bunların çoğu video cihazlarıdır ve birkaçı yazıcılar gibi diğer Nesnelerin İnterneti cihazlarıdır. Bazıları dahil olmak üzere birçok üretici var Tanınmış video ekipmanı üreticileri.
Dört, DDoS yansıma saldırı trendi
Bu saldırı, ağ video spesifikasyonu tarafından tanımlanan hizmet algılama arayüzünün bir yansıma kaynağı olarak kullanılmasıdır.Yansıma saldırısının büyük bir katsayısı vardır ve daha zararlı olan yansıtma için IoT cihazları kullanır. Geleneksel DRDoS saldırısıyla karşılaştırıldığında, bu saldırı, Nesnelerin İnterneti cihazlarının protokol güvenlik açıklarını kullanır.Nesnelerin İnternetinin popülerliği ile, daha fazla benzer saldırılar olacaktır.
IoT cihazlarının yardımıyla DDoS saldırılarının başlatılması Genel bakışta bahsedilen Mirai, DDoS saldırılarını başlatmak için enfeksiyon hedefi olarak IoT cihazlarıyla büyük bir botnet başlattı.Bu saldırının aksine, yansıma saldırılarını başlatmak için IoT cihazlarının kullanılması cihaza izinsiz giriş yapılmasını gerektirmiyor. Devasa bir botnet oluşturarak elde edilebilir ve Nesnelerin İnternetinin popülaritesi, bilgisayar korsanlarının büyük akışlı saldırılar gerçekleştirmesine de kolaylık sağlar.
Beş, önleme önerileri
1) İnternet hizmetleri için
a) UDP'yi devre dışı bırakın. Devre dışı bırakılamadığında, istek ve yanıtın birden çok ilişkiye sahip olmadığından emin olun
b) Yetki doğrulamasını etkinleştirin
2) İşletme kullanıcıları için
a) UDP ile ilgili bir hizmet yoksa, üst katmandaki veya yerel güvenlik duvarındaki UDP paketlerini filtreleyebilirsiniz.
b) Operatörlerden, harici web sitesi hizmetleri için UDP kara delik IP ağ segmenti sağlamaları istenebilir
c) DDoS bulut savunma güvenlik hizmetlerine erişmeyi seçebilirsiniz
3) IoT kullanıcıları için
a) Genel ağ erişim gereksinimi yoksa, Nesnelerin İnterneti cihazı genel ağ IP'sini etkinleştirmez.
b) Genel ağ erişimine ihtiyaç varsa, IP'ye erişimi kısıtlamak ve İnternet maruziyetini azaltmak için güvenlik duvarı kuralları eklenmelidir.
c) Cihaz başlangıçta yapılandırıldığında, cihaz iletişim yapılandırmasında TCP iletişimi tercih edilir.
* Yazar: Baidu Security Labs, lütfen FreeBuf.COM'dan belirtin