查看原文
其他

三年蜜罐实验:黑客想从物联网设备中得到什么?

Bill Toulas 代码卫士 2022-12-11

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


美国国家标准与技术研究院 (NIST) 和佛罗里达大学的研究人员开展了一项长达三年的蜜罐实验,模拟了多种类型和处于不同位置的低交互物联网设备,阐述了攻击者为何会攻击某类型设备。


具体而言,蜜罐是为了创建足够多样化的生态系统,通过判断攻击者目标来收集所生成的数据。

物联网设备是一个繁荣的市场,包含很多小型联网设备如摄像头、灯、门铃、智能电视、移动传感器、扬声器、恒温器等。据预测,到2025年,超过400亿台设备将联网,从而成为可用于未授权密币挖掘或发动DDoS 攻击的网络入口点或计算资源。


蜜罐设置


研究人员设立的蜜罐生态系统包括三个组件:多个服务器农场、一个审计系统以及数据捕获和分析基础设施。为创建多元化的生态系统,研究人员安装了现成的物联网蜜罐仿真器如Cowrie、Dionaea、KFSensor 和 HoneyCamera。

研究人员将实例配置为看似是 Censys 和 Shodan 两个查找联网服务的搜索引擎上的真实设备。

三种主要的蜜罐类型如下:

  • HoneyShell:仿真 Busybox

  • HoneyWindowsBox:仿真运行Windows 系统的物联网设备

  • HoneyCamera:仿真海康威视、D-Link 和其它设备的多种IP摄像头

这项实验中的一个新元素是,调整蜜罐以响应攻击者流量和攻击方法。

研究人员使用收集到的数据更改物联网配置和防御,之后收集新数据反映行动者对这些变更的响应。


研究结果


结果实验带来了由2260万次点击产生的数据,绝大多数攻击针对的是蜜罐 HoneyShell。

不同的攻击者展示出相似的攻击模式,这可能是因为它们的目标及实现目标的手段是一致的。例如,多数攻击者会运行 “masscan” 等命令扫描开放的端口,运行 “/etc/init.d/iptables stop” 等命令禁用防火墙。另外,很多攻击者运行 “free-m”、“lspci grep VGA” 和 “cat/proc/cpuinfo” 这三个命令收集关于目标设备的硬件信息。有意思的是,近100万次点击测试了”admin/1234”用户名和密码组合,反映了物联网设备对该凭据的过度使用。研究人员发现 HoneyShell 和 HoneyCamera 蜜罐主要被用于发动DDoS 攻击,且经常遭 Mirai 变体或密币挖矿机感染。密币挖矿机感染在 Windows 蜜罐上是最常见的,其次是病毒、释放器和木马。

在 HoneyCamera 案例中,研究人员故意构造漏洞暴露凭据,注意到29个攻击者手动利用该缺陷。研究论文指出,“仅有314,112 (13%) 的唯一会话由蜜罐中至少一个成功的命令执行检测到。这个结果表明仅有一小部分攻击执行了下一个步骤,余下攻击 (87%) 试图找到正确的用户名/密码组合。”


如何保护设备安全


为阻止黑客接管物联网设备,应遵循如下基本措施:

  • 将默认账户更改为唯一且强壮(长的)账户

  • 为物联网设备设置专门网络并将其与关键资产隔离

  • 确保尽快应用任意可用固件或其它安全更新

  • 主动监控物联网设备并查找利用迹象

最重要的是,如果设备无需暴露在互联网,则确保设备得到防火墙或VPN保护以阻止越权远程访问。












推荐阅读
我从1组工控系统蜜罐中捞了4个 0day exploits
暗网蜜罐告诉你被泄密码对黑客的诱惑力有多大
德国电信携手因特尔开发物联网蜜罐
联发科固件现窃听漏洞,影响全球约三分之一的手机和物联网设备
BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备
NUCLEUS:13:西门子实时操作系统 Nucleus漏洞影响物联网设备等




原文链接

https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存