如何去挖掘物联网环境中的高级恶意软件威胁

今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》，这个议题内容是我从2017年初至今的工作缩影，可以分享的技术和内幕实在太多，每页核心PPT都是长期以来的工作结果。

但是，我的工作不是挖0day漏洞，也不是检测APT攻击，但是在我研究IoT Botnet的过程中，他们就这样出现了。

关于我

背景介绍

这是我的部分安全研究成果，我也捕获和分析了很多IoT Botnet，也成长了不少。安全研究是个不断创新，不断攻防对抗的过程，我从业界前辈/攻击者那里学到很多知识，也很乐于向大家分享我的研究成果和思路。不过，我希望你也能够尊重创新，尊重原创技术和思路，哪怕是一行代码和一个idea。

我是如何研究IoT安全的？

我并没有买IoT设备，也没有直接去逆向IoT固件。我主要是从IoT样本和网络扫描数据入手。

IoT安全防御能力不足

IoT厂商并不能确保补丁能及时打上，他们也没有自动更新机制，很多老产品甚至已经不再维护更新。目前IoT产品大部分更新机制都是手动更新，像路由器/摄像头等设备用户很少会及时更新。我建议IoT厂商针对应用层的app，可以选择自动更新机制。另外像白名单技术等也可以在IoT设备中发挥作用。

IoT Botnet感染能力不断升级（现场讲了一些内幕，其实还有很多）

很多个国家的CERT都有和360Netlab联系，比如MikroTik Eavesdropping这个事件，俄罗斯CERT就主动联系了我们。

Reaper Botnet火起来的原因是被CheckPoint错误的分析报告和PR炒作起来的，然后国外安全媒体也起了推波助澜的作用。

在2018年，由美国商务部和国土安全局撰写的《A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats》报告中，多次提及我们发现的Reaper Botnet。

https://csrc.nist.gov/CSRC/media/Publications/white-paper/2018/05/30/enhancing-resilience-against-botnets--report-to-the-president/final/documents/eo\_13800\_botnet\_report\_-\_finalv2.pdf

IoT Botnet感染能力不断升级（Satori，Fbot，TheMoon使用IoT 0day漏洞传播）

IoT Botnet C2技术不断升级（不断地攻防对抗）

IoT设备已经成为APT攻击目标（有些案例不能说，但我确实挖到IoT特马了）

https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/

2018年9月6号，www.google.com搜索mikrotik记录显示我对MikroTik的研究报告（英文版）排名第3，MikroTik官方推特排名第4。这篇文章仍然是我写的研究报告中影响面最广的一篇文章，被各大安全媒体转发。

目前仍然在Google上可以搜到很多新闻报道

如何去挖掘未知的IoT Exploit （花了2个星期对已知的Exploits打tag，之前只关注未知的）

Anglerfish-ELF MalwareFamilyStatics（使用了ESET NOD32的病毒名）

Botnet扫描检测算法（Botnet扫描检测算法已经在ISC 2018分享过了，屡试不爽。）

如何发现Fbot Botnet使用 DVRIP 0day漏洞（Fuzz技术用得好，事半功倍）

Satori和Fbot都是出自同一个Botnet团伙，他们已经使用了2个0day漏洞，这已经是Botnet里的Top选手。