在F5實驗室最新發布的物聯網安全報告中，分析了2018年1月至6月期間全球物聯網（IoT）設備受攻擊的數據，涵蓋物聯網設備使用的主流服務和20個端口的分析數據。
以下是從2018年1月1日到6月30日基于收集的數據得出的結果概要：
1、物聯網設備已成為網絡惡意活動的頭號目標，受到的攻擊數量遠超Web和應用程序服務器、電子郵件服務器和數據庫。
2、遠程登陸攻擊占比下降，原因在于通過23端口監聽的物聯網設備已被Thingbot僵尸網絡移除。
3、今年3月，針對每個受監聽端口的攻擊流量劇增。基于對攻擊流量的解析，其中84％來自電信運營商，因此可推測電信運行商掌握的物聯網設備中有不少已被僵尸網絡感染。
4、針對物聯網設備的攻擊類型，SSH爆破攻擊排第一，其次是遠程登陸。
5、來自伊朗和伊拉克的IP地址首次進入攻擊IP地址列表前50名。
6、攻擊IP地址列表前50名都是新面孔，在上一篇報告中前50個攻擊IP中74％曾經出現過。也就是說，之前受感染的設備可能被全部清理了。
7、西班牙是受攻擊最嚴重的國家，受攻擊的數量占比高達80％。在過去一年半的時間里，西班牙一直是“穩坐第一”。顯然，西班牙的物聯網安全存在基礎性和結構性的問題。
8、巴西、中國、日本、波蘭和美國是主要的攻擊來源國。
概述
F5實驗室在2018年上半年共監控到13個物聯網僵尸網絡，2016年為9個，2017年為6個，僵尸網絡形成的增速驚人。F5實驗室監控僵尸網絡中的設備類型、感染途徑、以及發現手段，以下是這13個僵尸網絡的概況：
VPN Filter：收集用戶憑據，安裝網絡嗅探器以監控ICS協議，最后安裝tor節點。
Wicked：目標對象為SOHO路由器、CCTV和DVR，安裝SORA和OWARI，兩者都是提供“租用服務”的僵尸網絡。
Roaming Mantis：寄生在Wi-Fi路由器以及Android和iOS手機，并在受感染的設備上進行DNS劫持和地雷加密貨幣。
Omni：危害GPON家用路由器，用于加密或DDoS攻擊。
UPnProxy：掃描SOHO路由器并安裝可繞過訪問控制的代理服務器，之后發起：垃圾郵件和網絡釣魚活動；點擊欺詐；賬戶接管和信用卡欺詐；DDoS攻擊；安裝其他僵尸網絡；分發惡意軟件。
OWARI：接管SOHO路由器，作為多用僵尸網絡“服務”出租。
SORA：接管SOHO路由器，作為多用僵尸網絡“服務”出租。
DoubleDoor：目標對象為受瞻博網絡家庭防火墻保護的SOHO路由器，可在目標設備上安裝代理服務器，發起多種類型的攻擊。
OMG：接管SOHO路由器、無線IP攝像機和DVR，安裝代理服務器，可發起多種類型的攻擊。
JenX：入侵SOHO路由器和無線芯片組，發起DDoS攻擊。JenX是一種DDoS-for-Hire服務，以20美元的價格提供300Gbps攻擊。
Hide’n Seek：接管IP攝像機，能夠發起的攻擊類型目前未知。
Pure Masuta：目標對象為家用路由器，能夠發起的攻擊類型目前未知。
Masuta：接管家用路由器并發動DDoS攻擊。
受感染數量最多的物聯網設備依次為SOHO路由器、IP攝像機、DVR和CCTV。

圖1：過去10年僵尸網絡感染的設備類型分布
以往物聯網僵尸網絡最常見的攻擊類型是對目標對象發起DDoS，在2018年形勢發生了變化。僵尸網絡的掌控者開始轉向DDoS多用途攻擊“服務”的出租，安裝代理服務器用于發動指定類型的惡意攻擊，安裝節點和數據包嗅探器發起PDoS攻擊，DNS劫持、憑證收集、憑證填充和欺詐木馬等惡意活動。

圖2：在過去10年中，物聯網僵尸網絡發起的惡意活動類型分布
構建物聯網僵尸網絡的主流方法是在互聯網上對全球范圍內的設備進行，查找開放的遠程服務，比如說物聯網領域專用的HNAP、UPnP、SOAP、CVE，以及一些TCP端口。

圖3：過去10年中，感染方式分布
研究報告指出，蜂窩物聯網網關與傳統的有線和無線物聯網設備一樣脆弱，尤其是物聯網基礎設施與物聯網設備都很容易受到身份驗證攻擊。報告指出，62％的被測設備易受基于弱密碼和默認憑證的遠程訪問攻擊。這些設備被用于構建帶外網絡、創建網絡后門、進行網絡間諜活動、實施中間人攻擊、DNS劫持等。
“最受歡迎”的物聯網設備端口前20名
服務 
端口 
物聯網設備類型 
SSH 
22 
多種物聯網設備類型 
HTTP 
80 
主要是網絡應用程序，也包括常見的物聯網設備、ICS和游戲控制器 
遠程登陸 
23 
所有 
SIP 
5060 
VoIP電話、視頻會議設備 
HTTP_Alt 
8080 
SOHO路由器、智能噴淋設備、ICS R069 
7547 
SOHO路由器、網關、CCTV 
應用 
8291 
SOHO路由器 
Telnet 
2323 
所有 
HTTP 
81 
Wi-Fi攝像頭
SMTP 
25 
Wi-Fi攝像頭、游戲機 
Rockwell 
2222 
ICS 
HTTP_Alt 
8081 
硬盤錄像機 
WSP 
9200 
無線接入點 
HTTP_Alt 
8090 
網絡攝像頭 
UPnP 
52869 
無線芯片組 
應用 
37777 
硬盤錄像機 
UPnP 
37215 
SOHO路由器 
應用 
2332 
蜂窩網關 
Rockwell 
2223 
ICS 
Secure SIP 
5061 
VoIP電話、視頻會議設備 
大多數物聯網設備已從Telnet轉為使用SSH進行遠程管理，而SOHO路由器、電視機、游戲機和ICS等物聯網設備已經使用80端口很久了。智能電視和游戲機會定期啟動網絡服務器，使用UPnP管理自動打開SOHO路由器或防火墻的端口。Radiation、Reaper和Wicked均瞄準了HTTP協議的80、81和8080端口。

圖4：受攻擊數量最多的20個IoT設備端口的時間分布
十大攻擊目標國家和地區
西班牙自2017年第一季度以來一直穩坐物聯網惡意活動“最受歡迎的”目標國家，2018年1月1日至6月30日期間遭到的攻擊流量占比高達80%，該數據直接反映出西班牙物聯網資產的脆弱程度。

圖5：十大攻擊目標國家和地區
在過去一年半的時間里，匈牙利在受攻擊最多的國家中也占據了一席之地。排在前三位的其他國家是美國、俄羅斯和新加坡。

表2：過去兩年中前10個攻擊目的地國家
十大攻擊源國家和地區
2018年1月1日至6月30日期間，來自巴西的流量最多，該總攻擊流量的18％，這可能與前段事件巴西國內大量路由器遭到劫持有關。排在巴西之后的是我國。

圖6：十大攻擊源國家
來自日本的攻擊流量從2017年第三季度和第四季度的占總攻擊流量的1％大幅上升到2018年第一季度和第二季度總攻擊流量的9％。波蘭和伊朗的2018年第一季度和第二季度數據也值得關注，在過去的兩年半中，這兩個國家僅排在前十名上下，這兩個國家在2017年第一季度和第二季度中發起的攻擊占比不到1％。

表3：過去兩年中排名前10位的攻擊來源國家和地區
排名前50的攻擊IP地址
以下排名前50的攻擊IP地址按攻擊流量由高到底排列。該列表中的所有 IP地址都是新出現的。這種情況有幾種可能：以前受感染設備被全網清理；新的頂級玩家興起；被監控設備的所有者將惡意活動轉移到了新系統。
這一時期最明顯的變化是來自伊朗和伊拉克的IP地址數量激增。
編號 
IP地址 
IP所有者 
行業 
國家 
ASN 
1 
185.140.242.49 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
2 
185.140.242.96 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
3 
185.140.242.81 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
4 
185.140.243.12 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
5 
185.140.100.233 
Daniel Wojda trading as Netservice 
電信/ ISP 
波蘭 
AS203272 
6 
185.140.102.190 
Daniel Wojda trading as Netservice 
電信/ ISP 
波蘭 
AS203272 
7 
185.140.243.95 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
8 
185.140.100.120 
Daniel Wojda trading as Netservice 
電信/ ISP 
波蘭 
AS203272 
9 
185.140.101.69 
Daniel Wojda trading as Netservice 
電信/ ISP 
波蘭 
AS203272 
10 
167.99.83.206 
DigitalOcean，LLC 
主機 
聯合王國 
AS14061 
11 
185.140.100.9 
Daniel Wojda trading as Netservice 
電信/ ISP 
波蘭 
AS203272 
12 
185.140.241.64 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
13 
163.177.152.14 
中國聯通廣東IP網絡 
電信/ ISP 
中國 
AS136959 
14 
218.63.110.81 
中國電信-YN 
電信/ ISP 
中國 
AS4134 
15 
185.140.103.228 
Daniel Wojda trading as Netservice 
電信/ ISP 
波蘭 
AS203272 
16 
185.140.192.41 
Layth Zuhair Zahid 
未知 
伊拉克 
AS203257 
17 
185.140.243.111 
Farakam Rayan Kish Co. (Ltd.) 
電信/ ISP 
伊朗 
AS56815 
18 
185.140.192.9 
Layth Zuhair Zahid 
未知 
伊拉克 
AS203257 
19 
103.51.35.206 
Sky Tele Ventures 
電信/ ISP 
印度 
AS133972 
20 
185.140.101.5