随着物联网(IoT)设备数量的不断增加,IoT设备的网络安全面临着真正的威胁。蜜罐历来被用作诱饵设备,帮助研究人员更好地了解网络威胁的动态及其影响。但由于设备及其物理连接的多样性,物联网设备带来了独特的挑战。对此,南佛罗里达大学和美国国家标准技术研究院的研究人员进行了为期三年的蜜罐实验,创建了多样化的生态系统,并模拟了各种类型和位置的低交互物联网设备,以研究攻击者为何攻击一个特定设备,并研究数据。在蜜罐研究工作中,研究人员通过观察现实世界中攻击者在低交互蜜罐生态系统中的行为,提出了一种创建多阶段、多方位蜜罐生态系统的新方法,逐渐提高了蜜罐生态系统之间交互的复杂性。蜜罐和攻击者。还设计和开发了低交互摄像头蜜罐,以便更深入地了解攻击者的目标。此外,提出了一种创新的数据分析方法来识别攻击者的目标。该蜜罐已经活跃了三年多,能够在每个阶段收集越来越复杂的攻击数据。数据分析表明,蜜罐捕获的绝大多数攻击活动具有显着的相似性,可以对其进行聚类和分组,以更好地了解野外物联网攻击的目标、模式和趋势。一、背景近年来,物联网设备已经成为人们日常生活中无处不在的必备工具,连接设备的数量每年都在持续增加。BusinessInsider预测,到2025年,至少有416亿台物联网设备将连接到互联网,比2018年的80亿台物联网设备增长了512%。指数式增长引发了严重的安全问题,例如许多物联网设备存在简单漏洞,默认用户名和密码,并打开telnet/ssh端口。通常,这些设备放置在薄弱或不安全的网络中,例如家庭或公共场所。事实上,物联网设备与传统计算系统一样容易受到攻击,甚至更多。新的物联网设备可以为攻击者开辟新的入口点并暴露整个网络。在过去几年中,全球约有20%的企业经历过至少一次与物联网相关的攻击。过去,网络攻击主要以数据泄露或受感染设备用作垃圾邮件或分布式拒绝服务(DDoS)代理的形式出现。一般来说,漏洞会影响工业、计算机设备、银行、自动驾驶汽车、智能手机等领域的关键系统。此外,在许多情况下,它们造成了严重和重大的损害。由于物联网设备现在已成为大多数人生活中不可或缺的一部分,网络攻击因其广泛使用而变得更加危险。与过去相比,现在有更多人处于危险之中,需要提高警惕。随着物联网设备变得越来越普遍,网络攻击的原因和方法都可能发生重大变化。由于物联网设备在人们生活中的高度亲密性,对物联网设备的攻击可能比过去的网络攻击造成更具破坏性的后果。这些威胁不仅影响更多人,而且还扩大了影响范围。例如,如果网络犯罪分子破坏了摄像头设备,就会造成前所未有的隐私侵犯。这些攻击甚至可能危及人们的生命,例如当攻击者试图控制自动驾驶汽车时。加剧这种情况的另一个因素是物联网行业将上市速度置于安全问题之上的模式。例如,许多物联网设备具有简单的漏洞,例如默认用户名和密码以及开放的telnet/ssh端口。弱网络或不安全网络(例如家庭或公共场所)是安装这些设备的常见场所。不幸的是,对物联网设备的攻击已经成为现实,甚至比传统计算系统还要糟糕。根据赛门铁克报告,2017年物联网攻击数量显着增加,研究人员发现了50,000次攻击,与2016年相比增加了600%。2021年卡巴斯基报告称,与2021年前六个月相比,物联网攻击增加了一倍多前六个月。此外,攻击者还提高了技能,使这些攻击更加复杂,例如VPNFilter、Wicked、UPnProxy、Hajime、Masuta和Mirai僵尸网络。攻击者不断提高他们的技能,使这些形式的攻击更加复杂。然而,很少有人对此类攻击的性质或范围进行系统研究。截至目前,新闻中针对物联网设备的大规模攻击大多是DDoS攻击,比如Mirai攻击。了解使用物联网设备的攻击者的行为和动机至关重要。在网络安全中,蜜罐是一种用来吸引攻击的装置。通常,此类系统是面向互联网的设备,其中包含攻击者可以利用的模拟或真实系统。由于这些设备不用于任何其他目的,因此对它们的任何访问都将被视为恶意访问。安全研究人员长期以来一直使用蜜罐来了解各种类型的攻击者的行为。通过分析蜜罐收集的数据(如网络日志、下载的文件等),可以帮助发现新的方法、工具和攻击,发现零日漏洞和攻击趋势。有了这些信息,就可以改进网络安全措施,特别是对于资源有限的组织来修复安全漏洞。2.蜜罐设置只是让蜜罐运行模拟物联网系统,只获取有限的攻击信息。蜜罐“钩住”攻击者的时间越长,有关攻击者目标和策略的有用信息就越多。攻击者对设备越感兴趣,就越需要使用更巧妙和复杂的技术来诱使他们认为这是一个真实的设备。由于IoT设备与其环境有丰富的交互,因此IoT蜜罐的组织方式必须能够智能地适应不同类型的流量。作为回应,研究人员构建了一个精心设计的生态系统,其中包含各种蜜罐设备,与审查和分析基础设施协同工作,以实现高投资回报。设计和实现的蜜罐生态系统由三个部分组成:一个包含本地和云端蜜罐实例的蜜罐服务器群;一个审查系统,以确保攻击者难以检测到蜜罐设备;并捕获用于监视、收集和分析分析基础设施的数据。图1蜜罐生态系统蜜罐实例由蜜罐服务器场托管。研究人员使用AmazonWebServices和MicrosoftAzure在澳大利亚、加拿大、法国、印度、新加坡、英国、日本和美国等国家/地区创建了本地服务器和云实例。在蜜罐生态系统中,通过安全组实现网络控制,确保只有蜜罐生态系统内的实体才能相互通信,外部攻击者只能通过面向公众的接口访问蜜罐设备。鉴于不同的物联网设备具有不同的规格和配置,每个蜜罐都必须以独特的方式进行设计和配置。研究人员采用多阶段方法构建各种蜜罐实例,使用现成的蜜罐模拟器并对其进行调整,然后构建特定的模拟器。实验中使用的现成蜜罐模拟器包括Cowrie、Dionaea和KFSensor。Cowrie是一个蜜罐,通过模拟SSH和telnet来引诱攻击者并捕获他们的交互,还可以从输入中捕获文件。Dionaea是一个低交互蜜罐,它模拟Windows系统中常见的各种易受攻击的协议,用于捕获漏洞利用恶意软件,而KFSensor是一个商业IDS,充当蜜罐以吸引和记录潜在攻击作者的活动,在Windows上运行。实验中使用的物联网摄像头蜜罐名为HoneyCamera,是一款针对D-Link物联网摄像头的低交互蜜罐。蜜罐评论。蜜罐只有在不可检测的情况下才有价值,即攻击者不知道它是一个假系统。这是一项艰巨的任务,因为蜜罐(尤其是低交互蜜罐)将不可避免地无法表现出一些只有真实系统才具有的可观察到的特征,或者表现出真实系统永远不会表现出的特征。研究人员使用手动和自动指纹识别方法(例如Metasploit)以及物联网搜索引擎Shodan和Censys在互联网上搜索物联网设备并分析蜜罐实例。数据分析基础设施。研究人员使用Splunk管理和分析来自蜜罐设备的日志。该应用程序完成的示例分析包括:识别攻击者使用的用户名和密码组合,分析攻击位置,检测攻击会话期间最常执行和最不频繁执行的命令,分析下载的文件并将其直接发送到VirusTotal,存储结果并通过DShield检查攻击者IP和AbuseIPDB,实时收集和可视化数据,简化调查,动态搜索日志,并利用嵌入其中的人工智能和机器学习。研究人员使用多阶段方法将响应攻击者流量的复杂性引入蜜罐,调整蜜罐以响应攻击者流量和攻击方法,同时使用收集到的数据改变物联网配置和防御,然后收集数据反映攻击者流量。有关应对这些变化的新数据。实验中使用的三种主要类型的蜜罐包括:HoneyShell、HoneyWindowsBox和HoneyCamera。HoneyShell是一种易受攻击的物联网设备,它使用Cowrie蜜罐通过SSH和telnet模拟Busybox。HoneyWindowsBox是一款使用Dionaea模拟在Windows上运行的物联网设备。HoneyCamera是一款模拟D-Link相机使用的物联网设备。3.研究成果蜜罐生态系统在三年内共捕获了22,629,347次点击,其中大部分是HoneyShell蜜罐(17,343,412次点击),其次是HoneyCamera(3,667,029次点击)和HoneyWindowsBox(1,618,906次点击)。大多数联系来自中国(37%)、爱尔兰(26%)和英国(14%)。统计数据显示,所有攻击中有15%成功登录。大多数成功登录使用随机用户名和密码组合,这表明攻击者正在使用自动化脚本来寻找正确的身份验证。攻击者使用最多的用户名/密码组合是:admin/1234、root/(空值)和admin/(空值)。此外,研究人员仅检测到314,112(13%)个唯一会话,其中至少有一个命令在蜜罐内成功执行。这个结果表明只有一小部分攻击进入了下一步,其余的(87%)只是试图找到正确的用户名/密码组合。总共有236个独特的文件被下载到蜜罐中。46%的下载文件属于大学内的三个蜜罐,另外54%是在新加坡的一个蜜罐中发现的。下表显示了HoneyShell对捕获的恶意文件的分类。VirusTotal将所有这些文件标记为恶意文件。DoS/DDoS可执行文件是蜜罐中下载次数最多的可执行文件。攻击者试图将这些蜜罐用作其僵尸网络的一部分。IRCBot/Mirai和Shelldownloader是下载次数第二多的文件,这表明2016年首次发现的Mirai仍然是一个活跃的僵尸网络,此后一直试图向自身添加更多设备。Shelldownloader尝试下载各种格式的文件,这些文件可以在不同的操作系统架构下运行,例如x86、arm、i686和mips。由于攻击者试图在第一次尝试时获得访问权限,因此他们将运行所有可执行文件。表1下载文件的分类除了下载文件外,攻击者还尝试运行不同的命令。下表显示了前10个最常执行的命令及其出现时间。表2最常执行的命令在HoneyWindowsBox中,大部分攻击来自美国、中国和巴西,恶意软件类型如图2所示。HTTP是攻击者使用最多的协议,FTP和smb也被使用下载恶意文件。此外,在检查过程中还发现了大量的SIP通信。SIP主要由VoIP技术使用,与其他服务一样,存在缓冲区溢出和代码注入等常见漏洞。从这些蜜罐收集的数据用于为其他蜜罐创建更真实的文件系统。KFSensor是一个基于IDS的蜜罐,它侦听所有端口并尝试为它收到的每个请求创建适当的响应。从这个蜜罐中收集的信息也用于为Dionaea创建更好的环境和文件系统。图2在HoneyWindowsBox中捕获的恶意软件类型HoneyCamera蜜罐模拟了六个IoT摄像头设备,捕获的大部分攻击都来自智利。几个恶意文件试图在这些蜜罐中安装,主要是矿工和Mirai变体。分析捕获的日志表明,这个蜜罐吸引了许多专门针对物联网摄像头的攻击。研究人员发现的第一个攻击是相机凭证暴力攻击。在这次攻击中,攻击者试图找到正确的用户名和密码组合来访问视频流服务。第二次攻击试图利用CVE-2018-9995漏洞,该漏洞允许攻击者绕过凭据并通过Cookie:uid=admin标头访问摄像头。D-Link、Foscam、Hikvision、Netwave和AIVI是从这些蜜罐收集的数据中发现的一些目标摄像头。更多攻击类型见下表。表3HoneyCamera中的攻击类型此外,大部分攻击者(92%)使用GET协议与蜜罐通信,5%使用POST方式,其余3%使用其他方式,如CONNECT、HEAD、PUT等,研究人员特意设计了HoneyCamera漏洞来泄露登录页面的用户名和密码,并对漏洞页面进行了测试。如果漏洞被成功利用,用户名和密码将在HTML页面中显示为图片,人类无法区分漏洞和真实漏洞的影响。根据日志文件分析,有29个IP地址利用该漏洞成功登录HoneycameraWeb控制台进行探索。用户在不同网页之间移动的模式以及用户名和密码仅对人眼可见的事实表明,这些活动很可能是由真人而不是自动化程序执行的。研究人员将攻击命令分为三类:指纹识别、恶意活动和其他。与指纹识别相关的活动旨在识别目标上的资源,例如CPU数量、目标是否有GPU、蜜罐指纹识别活动等。攻击者使用这些细节来选择他们接下来要攻击的对象。如果目标返回令人满意的结果,则接下来的步骤可能会导致安装恶意软件。分析显示,攻击者安装了大量恶意软件和挖矿设备。足够先进的机器人(如Mirai及其变体)在成功登录目标后开始行动。恶意活动是第二类,包括试图在没有指纹识别的情况下在蜜罐中安装恶意程序的命令。在HoneyShell中执行的其他命令被定义为杂项,包括停止服务、创建枢轴点、扫描网络等。研究人员创建了一个状态机,该状态机基于对上述模式的手动检查,识别从一个目标到另一个目标的可能转换,并且是用于预测未来的攻击目标。图3捕获攻击模式的状态机
