隨著物聯網(IoT)設備的數量不斷增加，IoT設備在網絡安全方面面臨現實威脅。蜜罐歷來被用作誘餌設備，幫助研究人員更好地了解網絡上威脅的動態及其影響。但由于設備及其物理連接的多樣性，物聯網設備對此提出了獨特挑戰。

對此，美國南佛羅里達大學及美國國家標準與技術研究院研究人員進行了為期三年的蜜罐實驗，創建了多樣化的生態系統，模擬了各種類型和位置的低交互物聯網設備，以研究攻擊者為何會攻擊特定設備，并對相關數據進行了研究。

[[443197]]

在蜜罐研究工作中，研究人員通過觀察真實世界中攻擊者在低交互蜜罐生態系統中的行為，提出了一種創建多階段、多方面蜜罐生態系統的新方法，該方法逐漸提高了蜜罐與攻擊者交互的復雜性。同時設計并開發了一個低交互的攝像頭蜜罐，使其能夠更深入地了解攻擊者的目標。此外提出了一種創新的數據分析方法，來識別攻擊者的目標。該蜜罐已經活躍了三年多，能夠在每個階段收集越來越復雜的攻擊數據。數據分析表明，蜜罐中捕獲的絕大多數攻擊活動具有顯著相似性，可以進行聚類和分組，以更好地了解野外物聯網攻擊的目標、模式和趨勢。

一、背景介紹

近年來，物聯網設備已成為人們日常使用的無處不在和必不可少的工具，聯網設備的數量每年都在持續增加。Business Insider預計，到2025年至少將有416億臺物聯網設備連接到互聯網，與2018年的80億臺物聯網設備相比增長了512%。指數級的增長引發了嚴重的安全問題，例如許多物聯網設備都有簡單的漏洞，默認用戶名和密碼以及開放的telnet/ssh端口。通常，這些設備被放置在薄弱或不安全的網絡中，例如家庭或公共空間。實際上，物聯網設備與傳統計算系統一樣容易受到攻擊，甚至更多。新的物聯網設備可以為攻擊者開辟新的入口點，并暴露整個網絡。在過去幾年中，全球約有20%的企業至少經歷過一次與物聯網相關的攻擊。

在過去，網絡攻擊主要以數據泄露或用作垃圾郵件或分布式拒絕服務(DDoS)代理的受感染設備的形式出現。一般來說，漏洞會影響工業、計算機設備、銀行、自動駕駛汽車、智能手機等的重要系統。此外有很多案例表明，它們造成了嚴重和重大的損害。由于物聯網設備現在已成為大多數人生活中不可或缺的一部分，因此網絡攻擊因其廣泛使用而變得更加危險。與過去相比，現在有更多的人處于危險之中，需要提高警惕。隨著物聯網設備變得越來越普遍，網絡攻擊的原因和方法都可能發生重大變化。由于物聯網設備對人們的生活具有高度的親密性，因此與過去的網絡攻擊相比，對物聯網設備的攻擊可能會產生更具破壞性的后果。這些威脅不僅影響到更多人，而且還擴大了范圍。例如，網絡犯罪分子如果侵入攝像頭設備，就會造成前所未有的隱私侵犯。這些攻擊甚至可能危及人們的生命，例如攻擊者試圖控制自動駕駛汽車。

另一個加劇這種情況的因素是物聯網行業的模式，即上市速度優先于安全問題。例如，許多物聯網設備都有簡單的漏洞，如默認用戶名和密碼以及開放的telnet/ssh端口。家庭或公共場所等薄弱或不安全的網絡是安裝這些設備的常見地點。不幸的是，對物聯網設備的攻擊已經成為現實，甚至比傳統計算系統更糟糕。

根據賽門鐵克的一份報告，物聯網攻擊的數量在2017年顯著增加，研究人員發現了50000次攻擊，與2016年相比增加了600%。2021年卡巴斯基報告稱，與前六個月相比，2021年前六個月的物聯網攻擊增加了一倍以上。此外，攻擊者還提高了他們的技能，使這些攻擊更加復雜，例如VPNFilter、Wicked、UPnProxy、Hajime、Masuta和Mirai僵尸網絡。攻擊者正在不斷提高他們的技能，以使這些形式的攻擊更加復雜。然而，目前對于此類攻擊的性質或范圍進行的系統研究很少。截至目前，新聞中大多數針對物聯網設備的大規模攻擊都是DDoS攻擊，例如Mirai攻擊。了解攻擊者使用物聯網設備的行為及動機至關重要。

在網絡安全中，蜜罐是為了吸引攻擊活動而設置的設備。通常，此類系統是面向互聯網的設備，包含可供攻擊者攻擊的模擬或真實系統。由于這些設備不用于任何其他目的，因此對它們的任何訪問都將被視為惡意訪問。長期以來，安全研究人員一直在使用蜜罐來了解各種類型的攻擊者行為。通過分析蜜罐收集的數據(如網絡日志、下載文件等)，可幫助發現新方法、工具和攻擊，并發現零日漏洞以及攻擊趨勢。通過這些信息，網絡安全措施可以得到改進，特別是對于在修復安全漏洞方面資源有限的組織。

二、蜜罐設置

簡單地讓蜜罐運行模擬的IoT系統只能獲得有限的攻擊信息。蜜罐“鉤住”攻擊者的時間越長，關于攻擊者目標和策略的有用信息就越多。攻擊者對設備越感興趣，就越需要巧妙地使用復雜的技術來欺騙他們，使他們認為這是一個真實的設備。由于物聯網設備與其環境有豐富的交互，因此物聯網蜜罐的組織方式必須能夠智能適應不同類型的流量。

對此，研究人員建立了一個精心設計的生態系統，該生態系統具有各種蜜罐設備，與審查和分析基礎設施協同工作，能夠實現高投資回報。設計并實現的蜜罐生態系統包含三個組件：在本地和云端包含蜜罐實例的蜜罐服務器群;確保攻擊者難以檢測到蜜罐設備的審查系統;以及用于監控、收集和分析捕獲數據的分析基礎設施。

圖1 蜜罐生態系統

蜜罐實例由蜜罐服務器群托管。研究人員在澳大利亞、加拿大、法國、印度、新加坡、英國、日本和美國等國家使用Amazon Web Services和Microsoft Azure創建了本地服務器和云實例。在蜜罐生態系統中，通過安全組實現網絡控制，以確保只有蜜罐生態系統內的實體才能相互通信，外部攻擊者只能通過面向公眾的接口訪問蜜罐設備。

鑒于不同的物聯網設備具有不同的規格和配置，每個蜜罐必須以獨特的方式設計和配置。研究人員采用多階段方法來構建各種蜜罐實例，使用現成的蜜罐模擬器并對其進行調整，然后構建特定的模擬器。實驗中使用的現成的蜜罐模擬器包括Cowrie、Dionaea和KFSensor。

Cowrie是一個通過模擬SSH和telnet來引誘攻擊者并捕獲其交互的蜜罐，還可以從輸入中捕獲文件。Dionaea是一種低交互蜜罐，可模擬Windows系統中常見的各種易受攻擊的協議，用于捕獲利用漏洞的惡意軟件，KFSensor是一種商業IDS，可充當蜜罐來吸引和記錄潛在攻擊者的活動，在Windows上運行。實驗中使用的IoT攝像頭蜜罐名為HoneyCamera，是用于D-Link物聯網相機的低交互蜜罐。

蜜罐審查。蜜罐只有在無法檢測到的情況下才有價值，即攻擊者不知道它是假系統。這是一項艱巨的任務，因為蜜罐(尤其是低交互的蜜罐)將不可避免地無法展示一些只有真實系統才具備的可觀察特征，或者呈現真實系統永遠不會展示的特征。研究人員使用了手動和自動指紋識別方法，例如Metasploit，同時使用物聯網搜索引擎Shodan和Censys來搜索互聯網上的物聯網設備，并分析蜜罐實例。

數據分析基礎設施。研究人員使用Splunk來管理和分析來自蜜罐設備的日志。該應用程序完成的示例分析包括：識別攻擊者使用的用戶名和密碼的組合、分析攻擊位置、檢測攻擊會話期間執行的最頻繁和最不頻繁的命令、分析下載文件并直接發送到VirusTotal、存儲結果并通過DShield和AbuseIPDB等檢查攻擊者IP、實時收集和可視化數據、簡化調查、動態搜索日志、并利用其中嵌入的AI和機器學習。

研究人員使用多階段方法向蜜罐中引入響應攻擊者流量的復雜性，調整蜜罐來響應攻擊者流量和攻擊方法，同時使用收集到的數據來更改物聯網配置和防御，然后收集反映攻擊者對這些變化的反應的新數據。

實驗中使用的三種主要類型的蜜罐包括：HoneyShell、HoneyWindowsBox和HoneyCamera。HoneyShell是使用Cowrie蜜罐通過SSH和telnet模擬Busybox的易受攻擊的物聯網設備。HoneyWindowsBox是使用Dionaea模擬在Windows上運行的物聯網設備。HoneyCamera是模擬使用D-Link攝像頭的物聯網設備。

三、研究結果

蜜罐生態系統在三年時間里共捕獲了22,629,347次點擊，其中絕大多數攻擊者針對的是HoneyShell蜜罐(17,343,412次)，其次是HoneyCamera(3,667,029次)和HoneyWindowsBox(1,618,906次)。大部分連接來自中國(37%)、愛爾蘭(26%)和英國(14%)。

統計顯示，所有攻擊中有15%成功登錄。大多數成功登錄使用的是用戶名和密碼的隨機組合，這表明攻擊者使用的是自動化腳本找到正確的身份驗證。攻擊者使用的最多的戶名/密碼組合是：admin/1234、root/(空值)和admin/(空值)。

此外，研究人員僅檢測到314,112個(13%)唯一會話，并且在蜜罐內至少成功執行了一個命令。該結果表明，只有一小部分攻擊執行了下一步，其余(87%)僅嘗試找到正確的用戶名/密碼組合。總共有236個獨特的文件被下載到蜜罐中。46%的下載文件屬于大學內部的三個蜜罐，另外54%是在新加坡的蜜罐中發現的。下表展示了HoneyShell對捕獲的惡意文件的分類。VirusTotal將所有這些文件標記為惡意文件。DoS/DDoS可執行文件是蜜罐中下載次數最多的可執行文件。攻擊者試圖將這些蜜罐用作其僵尸網絡的一部分。IRCBot/Mirai和Shelldownloader是下載量第二大的文件，這表明在2016年首次發現的Mirai仍然是一個活躍的僵尸網絡，并且此后一直試圖為自己添加更多設備。Shelldownloader嘗試下載各種格式的文件，這些文件可以在x86、arm、i686和mips等不同操作系統的架構下運行。由于攻擊者在第一次嘗試時就試圖獲得訪問權限，因此他們將運行所有可執行文件。

表1 下載文件分類

除了下載文件，攻擊者還試圖運行不同的命令，下表顯示了執行次數最多的前10個命令及其出現次數。

表2 執行次數最多的命令

在HoneyWindowsBox中，大部分攻擊來自美國、中國和巴西，惡意軟件類型如圖2所示。HTTP是攻擊者使用最多的協議，FTP和smb也被用來下載惡意文件。此外，在檢查過程中還發現了大量的SIP通信。SIP主要由VoIP技術使用，與其他服務一樣，它也存在緩沖區溢出和代碼注入等常見漏洞。從這些蜜罐收集的數據用于為其他蜜罐創建更真實的文件系統。KFSensor是一個基于IDS的蜜罐，它偵聽所有端口，并嘗試為其收到的每個請求創建適當的響應。從這個蜜罐收集的信息也被用來為Dionaea創建一個更好的環境和文件系統。

圖2 HoneyWindowsBox中捕獲的惡意軟件類型

HoneyCamera蜜罐模擬了六個物聯網攝像頭設備，捕獲的大多數攻擊來自智利境內。幾個惡意文件試圖安裝在這些蜜罐中，主要是挖礦軟件和Mirai變體文件。分析捕獲的日志表明，這個蜜罐吸引了許多專門針對物聯網攝像頭的攻擊。

研究人員發現的第一個攻擊是攝像頭憑證暴力破解。在這次攻擊中，攻擊者試圖找到正確的用戶名和密碼組合來訪問視頻流服務。第二次攻擊試圖利用CVE-2018-9995漏洞，此漏洞允許攻擊者通過Cookie:uid=admin標題繞過憑據并訪問相機。D-Link、Foscam、Hikvision、Netwave和AIVI是從這些蜜罐收集的數據中發現的部分目標攝像機。更多攻擊類型詳見下表。

表3 HoneyCamera中的攻擊類型

此外,攻擊者大多(92%)使用GET協議與蜜罐通信，5%使用POST方法，其余3%使用其他方法，如CONNECT、HEAD、PUT等。

研究人員故意設計了HoneyCamera漏洞，來泄露登錄頁面的用戶名和密碼，并對易受攻擊的頁面進行了檢測，成功利用該漏洞將在HTML頁面中顯示用戶名和密碼作為圖像，人類無法辨別該漏洞與真實漏洞的影響。根據對日志文件的分析，有29個IP地址利用了該漏洞并成功登錄Honeycamera Web控制臺并對其進行了探索。用戶在不同網頁之間移動的模式以及用戶名和密碼僅對人眼可見的事實表明，這些活動很可能是由真人執行的，而不是自動化程序。

研究人員將攻擊命令分為三類：指紋識別、惡意活動和其他。與指紋識別相關的活動旨在識別目標上的資源，例如CPU數量、目標是否有GPU、蜜罐指紋活動等。攻擊者根據這些詳細信息選擇其下一步攻擊對象。如果目標返回令人滿意的結果，接下來的步驟可能會導致安裝惡意軟件。分析顯示，攻擊者安裝了大量惡意軟件和挖礦礦工。足夠先進的機器人(如Mirai及其變體)在成功登錄目標后開始活動。惡意活動是第二個類別，包括嘗試在蜜罐中安裝惡意程序而不進行指紋識別的命令。在HoneyShell中執行的其他命令被定義為Miscellaneous，包括停止服務、創建樞軸點、掃描網絡等。

研究人員創建了一個狀態機(State Machine)，基于對上述模式的手動檢查，可識別從一個目標到另一個目標的可能轉換，并用于預測未來攻擊者的目標。

圖3 捕獲攻擊模式的狀態機