三年蜜罐实验:黑客想从物联网设备中得到什么?
编译:代码卫士
具体而言,蜜罐是为了创建足够多样化的生态系统,通过判断攻击者目标来收集所生成的数据。
物联网设备是一个繁荣的市场,包含很多小型联网设备如摄像头、灯、门铃、智能电视、移动传感器、扬声器、恒温器等。据预测,到2025年,超过400亿台设备将联网,从而成为可用于未授权密币挖掘或发动DDoS 攻击的网络入口点或计算资源。
研究人员设立的蜜罐生态系统包括三个组件:多个服务器农场、一个审计系统以及数据捕获和分析基础设施。为创建多元化的生态系统,研究人员安装了现成的物联网蜜罐仿真器如Cowrie、Dionaea、KFSensor 和 HoneyCamera。
研究人员将实例配置为看似是 Censys 和 Shodan 两个查找联网服务的搜索引擎上的真实设备。
三种主要的蜜罐类型如下:
HoneyShell:仿真 Busybox
HoneyWindowsBox:仿真运行Windows 系统的物联网设备
HoneyCamera:仿真海康威视、D-Link 和其它设备的多种IP摄像头
这项实验中的一个新元素是,调整蜜罐以响应攻击者流量和攻击方法。
研究人员使用收集到的数据更改物联网配置和防御,之后收集新数据反映行动者对这些变更的响应。
结果实验带来了由2260万次点击产生的数据,绝大多数攻击针对的是蜜罐 HoneyShell。
不同的攻击者展示出相似的攻击模式,这可能是因为它们的目标及实现目标的手段是一致的。例如,多数攻击者会运行 “masscan” 等命令扫描开放的端口,运行 “/etc/init.d/iptables stop” 等命令禁用防火墙。另外,很多攻击者运行 “free-m”、“lspci grep VGA” 和 “cat/proc/cpuinfo” 这三个命令收集关于目标设备的硬件信息。有意思的是,近100万次点击测试了”admin/1234”用户名和密码组合,反映了物联网设备对该凭据的过度使用。研究人员发现 HoneyShell 和 HoneyCamera 蜜罐主要被用于发动DDoS 攻击,且经常遭 Mirai 变体或密币挖矿机感染。密币挖矿机感染在 Windows 蜜罐上是最常见的,其次是病毒、释放器和木马。
在 HoneyCamera 案例中,研究人员故意构造漏洞暴露凭据,注意到29个攻击者手动利用该缺陷。研究论文指出,“仅有314,112 (13%) 的唯一会话由蜜罐中至少一个成功的命令执行检测到。这个结果表明仅有一小部分攻击执行了下一个步骤,余下攻击 (87%) 试图找到正确的用户名/密码组合。”
为阻止黑客接管物联网设备,应遵循如下基本措施:
将默认账户更改为唯一且强壮(长的)账户
为物联网设备设置专门网络并将其与关键资产隔离
确保尽快应用任意可用固件或其它安全更新
主动监控物联网设备并查找利用迹象
最重要的是,如果设备无需暴露在互联网,则确保设备得到防火墙或VPN保护以阻止越权远程访问。
暗网蜜罐告诉你被泄密码对黑客的诱惑力有多大
德国电信携手因特尔开发物联网蜜罐
联发科固件现窃听漏洞,影响全球约三分之一的手机和物联网设备
BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备
NUCLEUS:13:西门子实时操作系统 Nucleus漏洞影响物联网设备等
https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。