隨著物聯(lián)網(wǎng)(IoT)設(shè)備的數(shù)量不斷增加，IoT設(shè)備在網(wǎng)絡(luò)安全方面面臨現(xiàn)實(shí)威脅。蜜罐歷來(lái)被用作誘餌設(shè)備，幫助研究人員更好地了解網(wǎng)絡(luò)上威脅的動(dòng)態(tài)及其影響。但由于設(shè)備及其物理連接的多樣性，物聯(lián)網(wǎng)設(shè)備對(duì)此提出了獨(dú)特挑戰(zhàn)。

對(duì)此，美國(guó)南佛羅里達(dá)大學(xué)及美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院研究人員進(jìn)行了為期三年的蜜罐實(shí)驗(yàn)，創(chuàng)建了多樣化的生態(tài)系統(tǒng)，模擬了各種類型和位置的低交互物聯(lián)網(wǎng)設(shè)備，以研究攻擊者為何會(huì)攻擊特定設(shè)備，并對(duì)相關(guān)數(shù)據(jù)進(jìn)行了研究。

[[443197]]

在蜜罐研究工作中，研究人員通過(guò)觀察真實(shí)世界中攻擊者在低交互蜜罐生態(tài)系統(tǒng)中的行為，提出了一種創(chuàng)建多階段、多方面蜜罐生態(tài)系統(tǒng)的新方法，該方法逐漸提高了蜜罐與攻擊者交互的復(fù)雜性。同時(shí)設(shè)計(jì)并開發(fā)了一個(gè)低交互的攝像頭蜜罐，使其能夠更深入地了解攻擊者的目標(biāo)。此外提出了一種創(chuàng)新的數(shù)據(jù)分析方法，來(lái)識(shí)別攻擊者的目標(biāo)。該蜜罐已經(jīng)活躍了三年多，能夠在每個(gè)階段收集越來(lái)越復(fù)雜的攻擊數(shù)據(jù)。數(shù)據(jù)分析表明，蜜罐中捕獲的絕大多數(shù)攻擊活動(dòng)具有顯著相似性，可以進(jìn)行聚類和分組，以更好地了解野外物聯(lián)網(wǎng)攻擊的目標(biāo)、模式和趨勢(shì)。

一、背景介紹

近年來(lái)，物聯(lián)網(wǎng)設(shè)備已成為人們?nèi)粘Ｊ褂玫臒o(wú)處不在和必不可少的工具，聯(lián)網(wǎng)設(shè)備的數(shù)量每年都在持續(xù)增加。Business Insider預(yù)計(jì)，到2025年至少將有416億臺(tái)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，與2018年的80億臺(tái)物聯(lián)網(wǎng)設(shè)備相比增長(zhǎng)了512%。指數(shù)級(jí)的增長(zhǎng)引發(fā)了嚴(yán)重的安全問(wèn)題，例如許多物聯(lián)網(wǎng)設(shè)備都有簡(jiǎn)單的漏洞，默認(rèn)用戶名和密碼以及開放的telnet/ssh端口。通常，這些設(shè)備被放置在薄弱或不安全的網(wǎng)絡(luò)中，例如家庭或公共空間。實(shí)際上，物聯(lián)網(wǎng)設(shè)備與傳統(tǒng)計(jì)算系統(tǒng)一樣容易受到攻擊，甚至更多。新的物聯(lián)網(wǎng)設(shè)備可以為攻擊者開辟新的入口點(diǎn)，并暴露整個(gè)網(wǎng)絡(luò)。在過(guò)去幾年中，全球約有20%的企業(yè)至少經(jīng)歷過(guò)一次與物聯(lián)網(wǎng)相關(guān)的攻擊。

在過(guò)去，網(wǎng)絡(luò)攻擊主要以數(shù)據(jù)泄露或用作垃圾郵件或分布式拒絕服務(wù)(DDoS)代理的受感染設(shè)備的形式出現(xiàn)。一般來(lái)說(shuō)，漏洞會(huì)影響工業(yè)、計(jì)算機(jī)設(shè)備、銀行、自動(dòng)駕駛汽車、智能手機(jī)等的重要系統(tǒng)。此外有很多案例表明，它們?cè)斐闪藝?yán)重和重大的損害。由于物聯(lián)網(wǎng)設(shè)備現(xiàn)在已成為大多數(shù)人生活中不可或缺的一部分，因此網(wǎng)絡(luò)攻擊因其廣泛使用而變得更加危險(xiǎn)。與過(guò)去相比，現(xiàn)在有更多的人處于危險(xiǎn)之中，需要提高警惕。隨著物聯(lián)網(wǎng)設(shè)備變得越來(lái)越普遍，網(wǎng)絡(luò)攻擊的原因和方法都可能發(fā)生重大變化。由于物聯(lián)網(wǎng)設(shè)備對(duì)人們的生活具有高度的親密性，因此與過(guò)去的網(wǎng)絡(luò)攻擊相比，對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊可能會(huì)產(chǎn)生更具破壞性的后果。這些威脅不僅影響到更多人，而且還擴(kuò)大了范圍。例如，網(wǎng)絡(luò)犯罪分子如果侵入攝像頭設(shè)備，就會(huì)造成前所未有的隱私侵犯。這些攻擊甚至可能危及人們的生命，例如攻擊者試圖控制自動(dòng)駕駛汽車。

另一個(gè)加劇這種情況的因素是物聯(lián)網(wǎng)行業(yè)的模式，即上市速度優(yōu)先于安全問(wèn)題。例如，許多物聯(lián)網(wǎng)設(shè)備都有簡(jiǎn)單的漏洞，如默認(rèn)用戶名和密碼以及開放的telnet/ssh端口。家庭或公共場(chǎng)所等薄弱或不安全的網(wǎng)絡(luò)是安裝這些設(shè)備的常見地點(diǎn)。不幸的是，對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊已經(jīng)成為現(xiàn)實(shí)，甚至比傳統(tǒng)計(jì)算系統(tǒng)更糟糕。

根據(jù)賽門鐵克的一份報(bào)告，物聯(lián)網(wǎng)攻擊的數(shù)量在2017年顯著增加，研究人員發(fā)現(xiàn)了50000次攻擊，與2016年相比增加了600%。2021年卡巴斯基報(bào)告稱，與前六個(gè)月相比，2021年前六個(gè)月的物聯(lián)網(wǎng)攻擊增加了一倍以上。此外，攻擊者還提高了他們的技能，使這些攻擊更加復(fù)雜，例如VPNFilter、Wicked、UPnProxy、Hajime、Masuta和Mirai僵尸網(wǎng)絡(luò)。攻擊者正在不斷提高他們的技能，以使這些形式的攻擊更加復(fù)雜。然而，目前對(duì)于此類攻擊的性質(zhì)或范圍進(jìn)行的系統(tǒng)研究很少。截至目前，新聞中大多數(shù)針對(duì)物聯(lián)網(wǎng)設(shè)備的大規(guī)模攻擊都是DDoS攻擊，例如Mirai攻擊。了解攻擊者使用物聯(lián)網(wǎng)設(shè)備的行為及動(dòng)機(jī)至關(guān)重要。

在網(wǎng)絡(luò)安全中，蜜罐是為了吸引攻擊活動(dòng)而設(shè)置的設(shè)備。通常，此類系統(tǒng)是面向互聯(lián)網(wǎng)的設(shè)備，包含可供攻擊者攻擊的模擬或真實(shí)系統(tǒng)。由于這些設(shè)備不用于任何其他目的，因此對(duì)它們的任何訪問(wèn)都將被視為惡意訪問(wèn)。長(zhǎng)期以來(lái)，安全研究人員一直在使用蜜罐來(lái)了解各種類型的攻擊者行為。通過(guò)分析蜜罐收集的數(shù)據(jù)(如網(wǎng)絡(luò)日志、下載文件等)，可幫助發(fā)現(xiàn)新方法、工具和攻擊，并發(fā)現(xiàn)零日漏洞以及攻擊趨勢(shì)。通過(guò)這些信息，網(wǎng)絡(luò)安全措施可以得到改進(jìn)，特別是對(duì)于在修復(fù)安全漏洞方面資源有限的組織。

二、蜜罐設(shè)置

簡(jiǎn)單地讓蜜罐運(yùn)行模擬的IoT系統(tǒng)只能獲得有限的攻擊信息。蜜罐“鉤住”攻擊者的時(shí)間越長(zhǎng)，關(guān)于攻擊者目標(biāo)和策略的有用信息就越多。攻擊者對(duì)設(shè)備越感興趣，就越需要巧妙地使用復(fù)雜的技術(shù)來(lái)欺騙他們，使他們認(rèn)為這是一個(gè)真實(shí)的設(shè)備。由于物聯(lián)網(wǎng)設(shè)備與其環(huán)境有豐富的交互，因此物聯(lián)網(wǎng)蜜罐的組織方式必須能夠智能適應(yīng)不同類型的流量。

對(duì)此，研究人員建立了一個(gè)精心設(shè)計(jì)的生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)具有各種蜜罐設(shè)備，與審查和分析基礎(chǔ)設(shè)施協(xié)同工作，能夠?qū)崿F(xiàn)高投資回報(bào)。設(shè)計(jì)并實(shí)現(xiàn)的蜜罐生態(tài)系統(tǒng)包含三個(gè)組件：在本地和云端包含蜜罐實(shí)例的蜜罐服務(wù)器群;確保攻擊者難以檢測(cè)到蜜罐設(shè)備的審查系統(tǒng);以及用于監(jiān)控、收集和分析捕獲數(shù)據(jù)的分析基礎(chǔ)設(shè)施。

圖1 蜜罐生態(tài)系統(tǒng)

蜜罐實(shí)例由蜜罐服務(wù)器群托管。研究人員在澳大利亞、加拿大、法國(guó)、印度、新加坡、英國(guó)、日本和美國(guó)等國(guó)家使用Amazon Web Services和Microsoft Azure創(chuàng)建了本地服務(wù)器和云實(shí)例。在蜜罐生態(tài)系統(tǒng)中，通過(guò)安全組實(shí)現(xiàn)網(wǎng)絡(luò)控制，以確保只有蜜罐生態(tài)系統(tǒng)內(nèi)的實(shí)體才能相互通信，外部攻擊者只能通過(guò)面向公眾的接口訪問(wèn)蜜罐設(shè)備。

鑒于不同的物聯(lián)網(wǎng)設(shè)備具有不同的規(guī)格和配置，每個(gè)蜜罐必須以獨(dú)特的方式設(shè)計(jì)和配置。研究人員采用多階段方法來(lái)構(gòu)建各種蜜罐實(shí)例，使用現(xiàn)成的蜜罐模擬器并對(duì)其進(jìn)行調(diào)整，然后構(gòu)建特定的模擬器。實(shí)驗(yàn)中使用的現(xiàn)成的蜜罐模擬器包括Cowrie、Dionaea和KFSensor。

Cowrie是一個(gè)通過(guò)模擬SSH和telnet來(lái)引誘攻擊者并捕獲其交互的蜜罐，還可以從輸入中捕獲文件。Dionaea是一種低交互蜜罐，可模擬Windows系統(tǒng)中常見的各種易受攻擊的協(xié)議，用于捕獲利用漏洞的惡意軟件，KFSensor是一種商業(yè)IDS，可充當(dāng)蜜罐來(lái)吸引和記錄潛在攻擊者的活動(dòng)，在Windows上運(yùn)行。實(shí)驗(yàn)中使用的IoT攝像頭蜜罐名為HoneyCamera，是用于D-Link物聯(lián)網(wǎng)相機(jī)的低交互蜜罐。

蜜罐審查。蜜罐只有在無(wú)法檢測(cè)到的情況下才有價(jià)值，即攻擊者不知道它是假系統(tǒng)。這是一項(xiàng)艱巨的任務(wù)，因?yàn)槊酃?尤其是低交互的蜜罐)將不可避免地?zé)o法展示一些只有真實(shí)系統(tǒng)才具備的可觀察特征，或者呈現(xiàn)真實(shí)系統(tǒng)永遠(yuǎn)不會(huì)展示的特征。研究人員使用了手動(dòng)和自動(dòng)指紋識(shí)別方法，例如Metasploit，同時(shí)使用物聯(lián)網(wǎng)搜索引擎Shodan和Censys來(lái)搜索互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備，并分析蜜罐實(shí)例。

數(shù)據(jù)分析基礎(chǔ)設(shè)施。研究人員使用Splunk來(lái)管理和分析來(lái)自蜜罐設(shè)備的日志。該應(yīng)用程序完成的示例分析包括：識(shí)別攻擊者使用的用戶名和密碼的組合、分析攻擊位置、檢測(cè)攻擊會(huì)話期間執(zhí)行的最頻繁和最不頻繁的命令、分析下載文件并直接發(fā)送到VirusTotal、存儲(chǔ)結(jié)果并通過(guò)DShield和AbuseIPDB等檢查攻擊者IP、實(shí)時(shí)收集和可視化數(shù)據(jù)、簡(jiǎn)化調(diào)查、動(dòng)態(tài)搜索日志、并利用其中嵌入的AI和機(jī)器學(xué)習(xí)。

研究人員使用多階段方法向蜜罐中引入響應(yīng)攻擊者流量的復(fù)雜性，調(diào)整蜜罐來(lái)響應(yīng)攻擊者流量和攻擊方法，同時(shí)使用收集到的數(shù)據(jù)來(lái)更改物聯(lián)網(wǎng)配置和防御，然后收集反映攻擊者對(duì)這些變化的反應(yīng)的新數(shù)據(jù)。

實(shí)驗(yàn)中使用的三種主要類型的蜜罐包括：HoneyShell、HoneyWindowsBox和HoneyCamera。HoneyShell是使用Cowrie蜜罐通過(guò)SSH和telnet模擬Busybox的易受攻擊的物聯(lián)網(wǎng)設(shè)備。HoneyWindowsBox是使用Dionaea模擬在Windows上運(yùn)行的物聯(lián)網(wǎng)設(shè)備。HoneyCamera是模擬使用D-Link攝像頭的物聯(lián)網(wǎng)設(shè)備。

三、研究結(jié)果

蜜罐生態(tài)系統(tǒng)在三年時(shí)間里共捕獲了22,629,347次點(diǎn)擊，其中絕大多數(shù)攻擊者針對(duì)的是HoneyShell蜜罐(17,343,412次)，其次是HoneyCamera(3,667,029次)和HoneyWindowsBox(1,618,906次)。大部分連接來(lái)自中國(guó)(37%)、愛爾蘭(26%)和英國(guó)(14%)。

統(tǒng)計(jì)顯示，所有攻擊中有15%成功登錄。大多數(shù)成功登錄使用的是用戶名和密碼的隨機(jī)組合，這表明攻擊者使用的是自動(dòng)化腳本找到正確的身份驗(yàn)證。攻擊者使用的最多的戶名/密碼組合是：admin/1234、root/(空值)和admin/(空值)。

此外，研究人員僅檢測(cè)到314,112個(gè)(13%)唯一會(huì)話，并且在蜜罐內(nèi)至少成功執(zhí)行了一個(gè)命令。該結(jié)果表明，只有一小部分攻擊執(zhí)行了下一步，其余(87%)僅嘗試找到正確的用戶名/密碼組合?？偣灿?36個(gè)獨(dú)特的文件被下載到蜜罐中。46%的下載文件屬于大學(xué)內(nèi)部的三個(gè)蜜罐，另外54%是在新加坡的蜜罐中發(fā)現(xiàn)的。下表展示了HoneyShell對(duì)捕獲的惡意文件的分類。VirusTotal將所有這些文件標(biāo)記為惡意文件。DoS/DDoS可執(zhí)行文件是蜜罐中下載次數(shù)最多的可執(zhí)行文件。攻擊者試圖將這些蜜罐用作其僵尸網(wǎng)絡(luò)的一部分。IRCBot/Mirai和Shelldownloader是下載量第二大的文件，這表明在2016年首次發(fā)現(xiàn)的Mirai仍然是一個(gè)活躍的僵尸網(wǎng)絡(luò)，并且此后一直試圖為自己添加更多設(shè)備。Shelldownloader嘗試下載各種格式的文件，這些文件可以在x86、arm、i686和mips等不同操作系統(tǒng)的架構(gòu)下運(yùn)行。由于攻擊者在第一次嘗試時(shí)就試圖獲得訪問(wèn)權(quán)限，因此他們將運(yùn)行所有可執(zhí)行文件。

表1 下載文件分類

除了下載文件，攻擊者還試圖運(yùn)行不同的命令，下表顯示了執(zhí)行次數(shù)最多的前10個(gè)命令及其出現(xiàn)次數(shù)。

表2 執(zhí)行次數(shù)最多的命令

在HoneyWindowsBox中，大部分攻擊來(lái)自美國(guó)、中國(guó)和巴西，惡意軟件類型如圖2所示。HTTP是攻擊者使用最多的協(xié)議，F(xiàn)TP和smb也被用來(lái)下載惡意文件。此外，在檢查過(guò)程中還發(fā)現(xiàn)了大量的SIP通信。SIP主要由VoIP技術(shù)使用，與其他服務(wù)一樣，它也存在緩沖區(qū)溢出和代碼注入等常見漏洞。從這些蜜罐收集的數(shù)據(jù)用于為其他蜜罐創(chuàng)建更真實(shí)的文件系統(tǒng)。KFSensor是一個(gè)基于IDS的蜜罐，它偵聽所有端口，并嘗試為其收到的每個(gè)請(qǐng)求創(chuàng)建適當(dāng)?shù)捻憫?yīng)。從這個(gè)蜜罐收集的信息也被用來(lái)為Dionaea創(chuàng)建一個(gè)更好的環(huán)境和文件系統(tǒng)。

圖2 HoneyWindowsBox中捕獲的惡意軟件類型

HoneyCamera蜜罐模擬了六個(gè)物聯(lián)網(wǎng)攝像頭設(shè)備，捕獲的大多數(shù)攻擊來(lái)自智利境內(nèi)。幾個(gè)惡意文件試圖安裝在這些蜜罐中，主要是挖礦軟件和Mirai變體文件。分析捕獲的日志表明，這個(gè)蜜罐吸引了許多專門針對(duì)物聯(lián)網(wǎng)攝像頭的攻擊。

研究人員發(fā)現(xiàn)的第一個(gè)攻擊是攝像頭憑證暴力破解。在這次攻擊中，攻擊者試圖找到正確的用戶名和密碼組合來(lái)訪問(wèn)視頻流服務(wù)。第二次攻擊試圖利用CVE-2018-9995漏洞，此漏洞允許攻擊者通過(guò)Cookie:uid=admin標(biāo)題繞過(guò)憑據(jù)并訪問(wèn)相機(jī)。D-Link、Foscam、Hikvision、Netwave和AIVI是從這些蜜罐收集的數(shù)據(jù)中發(fā)現(xiàn)的部分目標(biāo)攝像機(jī)。更多攻擊類型詳見下表。

表3 HoneyCamera中的攻擊類型

此外,攻擊者大多(92%)使用GET協(xié)議與蜜罐通信，5%使用POST方法，其余3%使用其他方法，如CONNECT、HEAD、PUT等。

研究人員故意設(shè)計(jì)了HoneyCamera漏洞，來(lái)泄露登錄頁(yè)面的用戶名和密碼，并對(duì)易受攻擊的頁(yè)面進(jìn)行了檢測(cè)，成功利用該漏洞將在HTML頁(yè)面中顯示用戶名和密碼作為圖像，人類無(wú)法辨別該漏洞與真實(shí)漏洞的影響。根據(jù)對(duì)日志文件的分析，有29個(gè)IP地址利用了該漏洞并成功登錄Honeycamera Web控制臺(tái)并對(duì)其進(jìn)行了探索。用戶在不同網(wǎng)頁(yè)之間移動(dòng)的模式以及用戶名和密碼僅對(duì)人眼可見的事實(shí)表明，這些活動(dòng)很可能是由真人執(zhí)行的，而不是自動(dòng)化程序。

研究人員將攻擊命令分為三類：指紋識(shí)別、惡意活動(dòng)和其他。與指紋識(shí)別相關(guān)的活動(dòng)旨在識(shí)別目標(biāo)上的資源，例如CPU數(shù)量、目標(biāo)是否有GPU、蜜罐指紋活動(dòng)等。攻擊者根據(jù)這些詳細(xì)信息選擇其下一步攻擊對(duì)象。如果目標(biāo)返回令人滿意的結(jié)果，接下來(lái)的步驟可能會(huì)導(dǎo)致安裝惡意軟件。分析顯示，攻擊者安裝了大量惡意軟件和挖礦礦工。足夠先進(jìn)的機(jī)器人(如Mirai及其變體)在成功登錄目標(biāo)后開始活動(dòng)。惡意活動(dòng)是第二個(gè)類別，包括嘗試在蜜罐中安裝惡意程序而不進(jìn)行指紋識(shí)別的命令。在HoneyShell中執(zhí)行的其他命令被定義為Miscellaneous，包括停止服務(wù)、創(chuàng)建樞軸點(diǎn)、掃描網(wǎng)絡(luò)等。

研究人員創(chuàng)建了一個(gè)狀態(tài)機(jī)(State Machine)，基于對(duì)上述模式的手動(dòng)檢查，可識(shí)別從一個(gè)目標(biāo)到另一個(gè)目標(biāo)的可能轉(zhuǎn)換，并用于預(yù)測(cè)未來(lái)攻擊者的目標(biāo)。

圖3 捕獲攻擊模式的狀態(tài)機(jī)