IoT僵尸网络传播大规模测量研究.pdf
《IoT僵尸网络传播大规模测量研究.pdf》由会员分享,可在线阅读,更多相关《IoT僵尸网络传播大规模测量研究.pdf(7页珍藏版)》请在咨信网上搜索。
1、计算机时代 2023年 第9期0 引言在当前新基建信息化建设大背景下,5G 通讯、工业互联网等新型互联网基础设施不断涌现,催生了智慧城市、智能制造、无人驾驶等全新物联网应用场景和相关产业的飞速发展。物联网(Internet of Things,IoT)已成为现代信息社会的重要基础设施。近年在5G通讯技术加持下,物联网终端种类及数量高速增长,根据 GSMA 发布的 The mobile economy 2022报告显示,2021年全球物联网总连接数达151亿,预计到2025年规模将达233亿。然而,从物联网漏洞报告趋势、现网漏洞攻击态势、软件安全防护机制等多个角度分析发现,物联网当前整体安全形势
2、不容乐观。基于性能考量,PC端常见的安防技术在IoT设备中未得到普及。庞大的终端基数,同时又普遍欠缺安全性考虑,因此物联网设备近年来也逐渐被恶意攻击者所关注,已成僵尸网络(BotNet)攻击的重灾区。如何有效测量僵尸网络的传播方法及途径,对现网攻击检测、防御及污染治理具有较大意义。DOI:10.16644/33-1094/tp.2023.09.009IoT僵尸网络传播大规模测量研究俞意1,李建华2,沈晨3,王强4,刘跃5(1.浙江省国防科工促进中心,浙江 杭州 310005;2.浙江省安全技术防范行业协会;3.金华职业技术学院;4.浙江省国防科工促进中心;5.奇安信集团)摘要:物联网终端数量急
3、剧增长,而其自身安全防御能力不足。目前由物联网僵尸网络带来的攻击,已明显影响到社会及工业安全。本文设计了一套专用于捕获IoT僵尸网络传播行为的蜜罐系统HoneyCC,并开展为期半年的大规模测量研究,捕获四亿多攻击数据及5.5万个BotNet样本。在此基础上开展多维度的测量分析,揭露IoT僵尸网络现网态势和传播方法,给出治理和防护建议。关键词:物联网;僵尸网络;漏洞利用;蜜罐中图分类号:TP393文献标识码:A文章编号:1006-8228(2023)09-37-06Large-scale measurement study of IoT botnet infection behaviorYu Y
4、i1,Li Jianhua2,Shen Chen3,Wang Qiang4,Liu Yue5(1.Zhejiang National Defense Science and Industry Promotion Center,Hangzhou,Zhejiang 310005,China;2.Zhejiang Safety TechnologyPrevention Industry Association;3.Jinhua Polytechnic;4.Zhejiang National Defense Science and Industry Promotion Center;5.QiAnXin
5、 Group)Abstract:The number of IoT terminals is growing dramatically,while their own security defense capability is insufficient.Thecurrent attacks brought by IoT botnet have significantly affected the social and industrial security.In this paper,we design ahoneypot system HoneyCC dedicated to captur
6、ing the propagation behavior of IoT botnets,and conduct a six-month large-scalemeasurement study to capture more than 400 million attack data and 55,000 botnet samples.On this basis,we carry out a multi-dimensional measurement analysis to reveal the current network situation and propagation methods
7、of IoT botnets,and giverecommendations for governance and protection.Key words:IoT;botnet;vulnerability exploitation;honeypot收稿日期:2023-03-30作者简介:俞意(1986-),男,江西广丰人,工科学士,工程师,主要研究方向:网络安全、数据信息安全防护。37Computer Era No.9 2023针对以上问题,本文从攻击者的视角,对僵尸网络传播行为进行深入分析与测量,定位失陷目标,提出检测与治理方法,期望能辅助行业更好地解决当前面临的实际安全问题。本文主要贡献
8、如下:设计了一种基于IoT设备指纹模拟的低交互式蜜罐,实现1个独立IP同时模拟数百个设备的目的,极大提升了IoT攻击行为的捕获效率。设计了一种基于IoT蜜罐的攻击行为捕获平台,分布式部署于全球范围内共300个节点,在半年内共捕获429,151,893次攻击数据,基于以上数据对僵尸网络传播行为开展大规模被动测量活动,对后续相关研究具有较高价值。多维度分析了僵尸网络的传播方法与途径,全面透视其传播态势,并给出防御治理建议,对解决实际攻击失陷行为有较高的实践意义。本文结构为:第1节介绍BotNet传播模型;第2节介绍实验设计方法思路;第3节对攻击数据进行大规模测量分析;第4节给出具体治理与防御建议;
9、第5节进行总结与研究展望。1 BotNet传播模型IoT BotNet由诸如视频监控、路由器、防火墙等众多联网设备组成,每个设备包含一个或多个僵尸程序。其所有者使用命令和控制软件来操控网络,执行各种需大规模自动化的(恶意)行动。其中包含:分布式拒绝服务(DDoS)攻击,造成目标服务不可用;用作攻击链路向攻击者提供VPN访问权限;组成匿名通信网络,用于逃逸监管审查等目的。我们以Kambourakis1等人提到的Mirai通信模型为例。如图1所示,整个通信框架包括攻击者、BotNet(僵尸网络)、Reporter(报告服务器)、C&C(控制节点)、Loader(恶意代码服务器)、新的受害者及被攻击
10、者。攻击者使用特定方法攻陷暴露在互联网且存在漏洞的路由器、摄像头等 IoT 设备,这些被攻陷设备组成BotNet。其感染传播流程为:BotNet对可达网络范围内持续扫描探测,定位可攻击的目标设备,同时使用SSH密码爆破或利用特定设备漏洞,感染新的受害者(即Bot)。新Bot被攻陷后,通常会从Loader加载恶意代码样本并运行,加入到整个BotNet中。同时BotNet向 Reporter 汇报有新的受控目标,Reporter将新失陷的Bot的信息同步给C&C。如攻击者需利用 BotNet对特定目标发起攻击,通常由 C&C 下发攻击命令,每个Bot接受到命令后,预定攻击手段,向目标发起指定形式的
11、攻击。图1经典BotNet-Mirai的通信框架在整个通信控制流程中,我们重点关注第1步,即通过扫描探测结合漏洞利用的感染传播过程。若能对该步骤实时态势感知,即可获取以下信息:已失陷Bot的IP地址,及IP相关的地理位置、组织机构及设备类型等信息;使用的攻击手段,如口令和漏洞PoC等;BotNet恶意代码样本。2 实验设计基于对IoT僵尸网络传播行为进行大规模被动测量目标,我们从攻击者角度设计了一套蜜罐(Honeypot)系统,专用于捕获其传播攻击行为。2.1 攻击特征总结经典的攻击流程通常分为以下五个步骤:挖掘设备漏洞,对漏洞利用程序进行武器化;目标网络资产测绘,确定设备厂商、型号、版本;蜜
12、罐清洗过滤,剔除可能是蜜罐的目标;利用漏洞利用程序,攻陷目标;加载恶意代码,将新感染者加入到BotNet中。因蜜罐形态的多样性,对抗成本相对较高,因此在IoT BotNet的传播过程中,往往省略了第三步清洗过程。利用该特点设计普遍适用于IoT场景的低交互式蜜罐,对BotNet的传播行为进行捕获。2.2 IoT设备指纹针对攻击流程第二步,通常 BotNet 进行攻击前需要情报侦察,判断目标设备是否属于可漏洞利用的指定型号。如何将当前蜜罐节点伪装成攻击者想要38计算机时代 2023年 第9期攻击的目标是此过程中的难点。我们借鉴了大网资产测绘的方法(Shodan、Censys、Zoomeye、FOF
13、A 等)及ARE2等已有工作方法,提取IoT设备特有的指纹,然后聚合大量不同物联网厂商设备的资产指纹,形成IoT蜜罐。如表 1、图 2 所示,通过预先积累大量资产指纹规则,再基于通用的Web蜜罐系统,在HTTP的header或 body填充类似的指纹信息,可误导 BotNet等自动攻击程序,将蜜罐节点错误识别成要被攻击的目的设备。表1资产指纹规则示例厂商华硕思科浙江大华西门子设备名称ASUS RT-AC88UCisco ASA防火墙IPC HF330SIMATIC设备类型路由器防火墙摄像头工业控制指纹规则body=RT-AC88U&body=ASUS router accountheader=
14、webvpnlogin&body=/+CSCOE+/logon.html&body=/+CSCOU+/portal.cssbanner=IPC-HF3300&protocol=snmpbanner=Siemens,SIMATIC|banner=Siemens AG SIMATIC图2ASUS RT-AC88无线路由器设备指纹示例2.3 IoT蜜罐设计蜜罐是一种被密切监控的网络诱饵,用于吸引攻击者,从而为真实系统提供有关攻击类型与倾向的数据,同时通过分析被攻击过的蜜罐,深入剖析攻击者的行为。按可交互程度,蜜罐分低交互、中交互及高交互三类。因测量目标为BotNet而非人为攻击行为,所以在设计之初,
15、权衡捕获能力、执行效率和运营便捷性,采用低交互式蜜罐设计形态,蜜罐架构设计如图3所示。图3HoneyCC蜜罐基本架构基于设备资产指纹基础设计实现 IoT 低交互式蜜罐系统HoneyCC,如图4所示。结构上采用Docker容器虚拟化技术,分别部署了SSH、Telnet和HTTP三种类型。其中HTTP蜜罐,复用1000种不同的设备指纹,包括华硕、D-Link、海康威视、TP-Link、小米、华为等主流物联网厂商,从而达到在一个独立IP上同时模拟多个设计的目的。得益于轻量级设计模式,HoneyCC可较容易分布式大量部署于互联网。图4HoneyCC蜜罐局部实现2.4 部署与运营表2协议及端口部署情况协
16、议名称SSHTelnetNTPMemcachedSSDPDNSHTTP类型TCPTCPUDPUDPUDPUDPTCP端口22,222223,23231231121119005380-82,8000-9000header:HTTP头部,body:HTTP主体,banner:扫描回包内容,&:与关系,|:或关系39Computer Era No.9 2023将HoneyCC蜜罐节点分布式部署于多个地区,数据中心部署于北京。通过不断更新迭代资产指纹规则,增强蜜罐捕获能力,半年内共捕获近4.3亿次攻击。这些攻击行为主要分两类:一是针对SSH及Telnet的用户名及密码爆破攻击;二是采用设备特定漏洞的P
17、oC攻击。蜜罐协议端口使用情况如表2所示。3 传播测量分析对捕获的原始数据从源 IP、目的 IP、目的端口、Payload等多个维度展开分析,主要回答以下问题:哪些设备已被感染,归属是谁?哪些设备正被感染?哪些漏洞被用于攻击传播?哪些BotNet家庭最为活跃?3.1 哪些设备已经被感染测量时段内观测到有攻击行为的源 IP 累计共1417652个。这些IP分布于除南极洲外的所有大洲,有设备使用的地方就可能成为僵尸网络感染区域。全球约31.85%被感染或曾被感染IP分布于中国大陆。排名前十的国家或地区分别为:中国 451539个,巴西107748个,美国101091个,印度 82955个,伊朗 6
18、6965 个,俄罗斯 51178 个,越南 39054 个,印尼35725个,德国28129个,意大利26877个。我们使用IP地址库3,对运营商进行统计分析。如表 3 所示,联通、电信等运营商占据多数,而Digitalocean、亚马逊云、阿里云失陷设备数量远小于电信运营商,基本符合Cetin4等人的分析结果。表3失陷设备所属运营商前十运营商未知联通电信数量21143317075216344242490271862587417594171571529815001利用Shodan和Censys的IP测绘数据对以上IP开展资产统计分析,结合设备资产指纹规则进行聚类及标签化处理。受限于被动的获取方
19、式,部分已失陷IP缺失测绘数据,但已知数据也可反映一些问题。从表4来看,家用路由器(如MikroTik、华为、中兴、TP-Link)、视频监控(海康威视、雄迈、H264DVR、同为)这两类设备占失陷目标的绝大部分。表4失陷设备厂商数量前十厂商MikroTik华为海康威视H264DVR中兴CPE雄迈同为SynologyTP-Link宝塔类型路由器家庭网关视频监控视频监控路由器视频监控视频监控网络存储路由器堡垒机数量25644375223851843132812301207119211039503.2 哪些目标正在被感染通过对目标端口的统计,可直接观测到 BotNet感兴趣的协议和端口。在表5中,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IoT 僵尸 网络 传播 大规模 测量 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。