基于Web攻擊的方式發現并攻擊物(wù)聯網設備

 前言

近二十年來，DNS重綁定(DNS rebinding)攻擊一(yī)直是讨論的話(huà)題。盡管浏覽器廠商(shāng)做出了努力，但仍然無法找到一(yī)個能穩定抵禦這些攻擊的防禦系統。據說這類問題八年前就已經被修複了。但是這類攻擊通過新的攻擊向量再次出現。

總的來說，可以肯定未來的黑客活動将通過多個現有攻擊組合形成新的攻擊向量。這些新攻擊向量的一(yī)個很好的例子就是攻擊加密貨币錢包的DNS重綁定攻擊。

在本文中(zhōng)，我(wǒ)們讨論了Princeton(普林斯頓大(dà)學)和UC Berkeley(加州大(dà)學伯克利分(fēn)校)關于基于web的方式攻擊物(wù)聯網設備的研究，這些攻擊會導緻設備被黑客發現、攻擊和接管。研究于2018年8月發表。

設備與黑客發現和攻擊物(wù)聯網設備的方法

研究人員(yuán)的目标是測試15個物(wù)聯網設備。這些設備中(zhōng)隻有七台有本地HTTP服務器，所以研究的重點放(fàng)在它們上，它們包括：Google Chromecast、Google Home、一(yī)台智能電(diàn)視、一(yī)個智能開(kāi)關和三個攝像頭。

使用的攻擊方法是：

• 欺騙受害人，誘導他們訪問攻擊者控制的網站。
• 在受害者的本地網絡上發現物(wù)聯網設備。
• 通過基于web的攻擊控制設備。

攻擊的持續時間

從技術上講，這不是新的攻擊向量。研究報告引用了之前的研究，發現攻擊者使用這些攻擊向量平均需要一(yī)分(fēn)鍾才能獲得結果。奇怪的是，一(yī)項著名的研究結果

(What You Think You Know About the Web is Wrong)顯示，55%的用戶花在網站上的時間不超過15秒。看來大(dà)多數用戶不會受到物(wù)聯網漏洞的影響。

但是在普林斯頓大(dà)學和加州大(dà)學伯克利分(fēn)校的研究中(zhōng)，研究人員(yuán)明顯縮短了攻擊的持續時間。研究人員(yuán)表示使用他們發現的方法，可以比之前的研究更快地發現和訪問本地網絡中(zhōng)的設備。但是Chrome除外(wài)，因爲它緩存DNS請求，如果TTL低于某個阈值，則忽略TTL。需要注意的是，隔離(lí)區(DMZ，防火(huǒ)牆内的内部網絡)中(zhōng)的設備通常被認爲是安全的，因爲用戶假設外(wài)部是無法訪問這些設備的。但是，通過這裏描述的攻擊，攻擊者可以訪問受害者内部網絡中(zhōng)的浏覽器。

發現HTTP端點

研究人員(yuán)通過将這些設備連接到Raspberry Pi的無線接入點來分(fēn)析這些設備。觀察并分(fēn)析了從設備發送和接收的數據包，以及與每個設備綁定的移動應用發送和接收的數據包。通過分(fēn)析發現了35個GET請求端點和8個POST請求端點。這些端點用于識别發現階段中(zhōng)的IP地址。

研究的階段

研究人員(yuán)通過兩個不同的階段進行研究，即發現階段和接入階段：

• 發現階段的目标是在本地網絡上找到浏覽器上包含HTML5元素的物(wù)聯網設備。
• 接入階段的目标是使用DNS重綁定和已發現的IP地址訪問HTTP端點。

1. 發現階段：識别物(wù)聯網設備

• 使用WebRTC獲取本地IP地址。
• 通過81端口向IP範圍内的所有IP地址發送請求。由于81端口通常不被占用，活動設備将立即響應一(yī)個TCP RST數據包。而對于IP範圍内的非活動設備，請求數據包将超時。
• 每個活動IP地址都接收到最初階段使用HTML5爲35個GET端點收集的請求。根據返回的錯誤消息信息，攻擊腳本将識别IP地址是否與七個設備中(zhōng)的任意一(yī)個匹配。

研究計劃使用三種不同的操作系統(Windows 10、MacOS和Ubuntu)和四種不同的浏覽器(Chrome、Firefox、Safari、MicrosoftEdge)。然而隻有Chrome和Firefox這兩個浏覽器适合這項研究。因此不使用Safari和Edge浏覽器，因爲根據(基于Web的方式對本地物(wù)聯網設備的發現和控制的攻擊)：

在Safari上，所有的FETCH請求都超時了，導緻攻擊腳本将所有IP地址識别爲不活動。而在Edge浏覽器上，腳本可以使用FETCH請求正确識别活動IP地址，但Edge沒有公開(kāi)詳細的HTML5錯誤消息，所以攻擊腳本無法識别Edge上的任何設備。

2. 接入階段：控制物(wù)聯網設備

• 受害者訪問攻擊者控制的域名(domain.tld)，浏覽器執行在攻擊者站點上找到的惡意JavaScript代碼。域名仍然解析爲攻擊者的服務器IP。
• 惡意腳本請求domain.tld上的另一(yī)個資(zī)源，該資(zī)源僅存在于攻擊者服務器上。
• 如果受害者的本地DNS緩存仍然解析爲攻擊者的遠程IP，則對/hello.php的請求将返回字符串“hello”，并重複步驟2。
• 但是如果受害者緩存中(zhōng)的domain.tld過期，則将向攻擊者發送新的DNS查詢。
• 最後将返回從發現階段中(zhōng)獲得的本地IP，而不是攻擊者的遠程IP，/hello.php不會使用字符串“hello”進行響應，而是使用不同的内容，如404錯誤，它告訴惡意腳本DNS重綁定攻擊已經成功。

通過這次攻擊，惡意腳本繞過了浏覽器同源策略(Same-Origin Policy)，并獲得了對運行在設備上的Web應用的訪問權限。現在攻擊者已經可以在Google Chromecast、Google Home、智能電(diàn)視和智能開(kāi)關設備上執行重新啓動或啓動視頻(pín)/音頻(pín)文件。

如何防止針對物(wù)聯網設備的DNS重綁定攻擊

研究人員(yuán)稱，用戶、浏覽器廠商(shāng)、物(wù)聯網廠商(shāng)和DNS提供商(shāng)需要采取預防措施，以避免DNS重綁定攻擊。以下(xià)是研究給出的一(yī)些措施：

• 用戶可以在浏覽器上禁用WebRTC，并防止洩露私有IP。攻擊者将能夠通過向私有IP範圍内的所有*.1地址(路由器地址)發送請求來發現用戶的私有IP。
• 攻擊者假設所有物(wù)聯網設備的IP範圍與受害者的PC具有相同的IP範圍。用戶可以通過配置路由器的DHCP服務器，在另一(yī)個子網(如 /16)上分(fēn)配IP地址。
• 用戶可以安裝dnsmasq，通過從DNS響應中(zhōng)删除RFC 1918地址來防止DNS重綁定攻擊。用戶還可以使用dnsmasq的OpenWRT路由器。
• 物(wù)聯網廠商(shāng)可以在發送到Web接口的請求中(zhōng)控制Host标頭。如果沒有符合RFC 1918的私有IP，則可以阻止訪問。
• DNS提供商(shāng)可以使用像dnswall這樣的機制從DNS響應中(zhōng)篩選私有IP。
• 浏覽器廠商(shāng)可以開(kāi)發限制公網訪問私有IP範圍的擴展程序。