IoT僵尸网络传播大规模测量研究.pdf

计算机时代 2023年 第9期0 引言在当前新基建信息化建设大背景下，5G 通讯、工业互联网等新型互联网基础设施不断涌现，催生了智慧城市、智能制造、无人驾驶等全新物联网应用场景和相关产业的飞速发展。物联网（Internet of Things,IoT）已成为现代信息社会的重要基础设施。近年在5G通讯技术加持下，物联网终端种类及数量高速增长，根据 GSMA 发布的 The mobile economy 2022报告显示，2021年全球物联网总连接数达151亿，预计到2025年规模将达233亿。然而，从物联网漏洞报告趋势、现网漏洞攻击态势、软件安全防护机制等多个角度分析发现，物联网当前整体安全形势不容乐观。基于性能考量，PC端常见的安防技术在IoT设备中未得到普及。庞大的终端基数，同时又普遍欠缺安全性考虑，因此物联网设备近年来也逐渐被恶意攻击者所关注，已成僵尸网络（BotNet）攻击的重灾区。如何有效测量僵尸网络的传播方法及途径，对现网攻击检测、防御及污染治理具有较大意义。DOI:10.16644/33-1094/tp.2023.09.009IoT僵尸网络传播大规模测量研究俞意1，李建华2，沈晨3，王强4，刘跃5(1.浙江省国防科工促进中心，浙江 杭州 310005；2.浙江省安全技术防范行业协会；3.金华职业技术学院；4.浙江省国防科工促进中心；5.奇安信集团)摘要：物联网终端数量急剧增长，而其自身安全防御能力不足。目前由物联网僵尸网络带来的攻击，已明显影响到社会及工业安全。本文设计了一套专用于捕获IoT僵尸网络传播行为的蜜罐系统HoneyCC，并开展为期半年的大规模测量研究，捕获四亿多攻击数据及5.5万个BotNet样本。在此基础上开展多维度的测量分析，揭露IoT僵尸网络现网态势和传播方法，给出治理和防护建议。关键词：物联网；僵尸网络；漏洞利用；蜜罐中图分类号：TP393文献标识码：A文章编号：1006-8228(2023)09-37-06Large-scale measurement study of IoT botnet infection behaviorYu Yi1,Li Jianhua2,Shen Chen3,Wang Qiang4,Liu Yue5（1.Zhejiang National Defense Science and Industry Promotion Center,Hangzhou,Zhejiang 310005,China;2.Zhejiang Safety TechnologyPrevention Industry Association;3.Jinhua Polytechnic;4.Zhejiang National Defense Science and Industry Promotion Center;5.QiAnXin Group）Abstract：The number of IoT terminals is growing dramatically,while their own security defense capability is insufficient.Thecurrent attacks brought by IoT botnet have significantly affected the social and industrial security.In this paper,we design ahoneypot system HoneyCC dedicated to capturing the propagation behavior of IoT botnets,and conduct a six-month large-scalemeasurement study to capture more than 400 million attack data and 55,000 botnet samples.On this basis,we carry out a multi-dimensional measurement analysis to reveal the current network situation and propagation methods of IoT botnets,and giverecommendations for governance and protection.Key words：IoT;botnet;vulnerability exploitation;honeypot收稿日期：2023-03-30作者简介：俞意（1986-），男，江西广丰人，工科学士，工程师，主要研究方向：网络安全、数据信息安全防护。37Computer Era No.9 2023针对以上问题，本文从攻击者的视角，对僵尸网络传播行为进行深入分析与测量，定位失陷目标，提出检测与治理方法，期望能辅助行业更好地解决当前面临的实际安全问题。本文主要贡献如下：设计了一种基于IoT设备指纹模拟的低交互式蜜罐，实现1个独立IP同时模拟数百个设备的目的，极大提升了IoT攻击行为的捕获效率。设计了一种基于IoT蜜罐的攻击行为捕获平台，分布式部署于全球范围内共300个节点，在半年内共捕获429,151,893次攻击数据，基于以上数据对僵尸网络传播行为开展大规模被动测量活动，对后续相关研究具有较高价值。多维度分析了僵尸网络的传播方法与途径，全面透视其传播态势，并给出防御治理建议，对解决实际攻击失陷行为有较高的实践意义。本文结构为：第1节介绍BotNet传播模型；第2节介绍实验设计方法思路；第3节对攻击数据进行大规模测量分析；第4节给出具体治理与防御建议；第5节进行总结与研究展望。1 BotNet传播模型IoT BotNet由诸如视频监控、路由器、防火墙等众多联网设备组成，每个设备包含一个或多个僵尸程序。其所有者使用命令和控制软件来操控网络，执行各种需大规模自动化的（恶意）行动。其中包含：分布式拒绝服务（DDoS）攻击，造成目标服务不可用；用作攻击链路向攻击者提供VPN访问权限；组成匿名通信网络，用于逃逸监管审查等目的。我们以Kambourakis1等人提到的Mirai通信模型为例。如图1所示，整个通信框架包括攻击者、BotNet（僵尸网络）、Reporter（报告服务器）、C&C（控制节点）、Loader（恶意代码服务器）、新的受害者及被攻击者。攻击者使用特定方法攻陷暴露在互联网且存在漏洞的路由器、摄像头等 IoT 设备，这些被攻陷设备组成BotNet。其感染传播流程为：BotNet对可达网络范围内持续扫描探测，定位可攻击的目标设备，同时使用SSH密码爆破或利用特定设备漏洞，感染新的受害者（即Bot）。新Bot被攻陷后，通常会从Loader加载恶意代码样本并运行，加入到整个BotNet中。同时BotNet向 Reporter 汇报有新的受控目标，Reporter将新失陷的Bot的信息同步给C&C。如攻击者需利用 BotNet对特定目标发起攻击，通常由 C&C 下发攻击命令，每个Bot接受到命令后，预定攻击手段，向目标发起指定形式的攻击。图1经典BotNet-Mirai的通信框架在整个通信控制流程中，我们重点关注第1步，即通过扫描探测结合漏洞利用的感染传播过程。若能对该步骤实时态势感知，即可获取以下信息：已失陷Bot的IP地址，及IP相关的地理位置、组织机构及设备类型等信息；使用的攻击手段，如口令和漏洞PoC等；BotNet恶意代码样本。2 实验设计基于对IoT僵尸网络传播行为进行大规模被动测量目标，我们从攻击者角度设计了一套蜜罐（Honeypot）系统，专用于捕获其传播攻击行为。2.1 攻击特征总结经典的攻击流程通常分为以下五个步骤：挖掘设备漏洞，对漏洞利用程序进行武器化；目标网络资产测绘，确定设备厂商、型号、版本；蜜罐清洗过滤，剔除可能是蜜罐的目标；利用漏洞利用程序，攻陷目标；加载恶意代码，将新感染者加入到BotNet中。因蜜罐形态的多样性，对抗成本相对较高，因此在IoT BotNet的传播过程中，往往省略了第三步清洗过程。利用该特点设计普遍适用于IoT场景的低交互式蜜罐，对BotNet的传播行为进行捕获。2.2 IoT设备指纹针对攻击流程第二步，通常 BotNet 进行攻击前需要情报侦察，判断目标设备是否属于可漏洞利用的指定型号。如何将当前蜜罐节点伪装成攻击者想要38计算机时代 2023年 第9期攻击的目标是此过程中的难点。我们借鉴了大网资产测绘的方法(Shodan、Censys、Zoomeye、FOFA 等)及ARE2等已有工作方法，提取IoT设备特有的指纹，然后聚合大量不同物联网厂商设备的资产指纹，形成IoT蜜罐。如表 1、图 2 所示，通过预先积累大量资产指纹规则，再基于通用的Web蜜罐系统，在HTTP的header或 body填充类似的指纹信息，可误导 BotNet等自动攻击程序，将蜜罐节点错误识别成要被攻击的目的设备。表1资产指纹规则示例厂商华硕思科浙江大华西门子设备名称ASUS RT-AC88UCisco ASA防火墙IPC HF330SIMATIC设备类型路由器防火墙摄像头工业控制指纹规则body=RT-AC88U&body=ASUS router accountheader=webvpnlogin&body=/+CSCOE+/logon.html&body=/+CSCOU+/portal.cssbanner=IPC-HF3300&protocol=snmpbanner=Siemens,SIMATIC|banner=Siemens AG SIMATIC图2ASUS RT-AC88无线路由器设备指纹示例2.3 IoT蜜罐设计蜜罐是一种被密切监控的网络诱饵，用于吸引攻击者，从而为真实系统提供有关攻击类型与倾向的数据，同时通过分析被攻击过的蜜罐，深入剖析攻击者的行为。按可交互程度，蜜罐分低交互、中交互及高交互三类。因测量目标为BotNet而非人为攻击行为，所以在设计之初，权衡捕获能力、执行效率和运营便捷性，采用低交互式蜜罐设计形态，蜜罐架构设计如图3所示。图3HoneyCC蜜罐基本架构基于设备资产指纹基础设计实现 IoT 低交互式蜜罐系统HoneyCC，如图4所示。结构上采用Docker容器虚拟化技术，分别部署了SSH、Telnet和HTTP三种类型。其中HTTP蜜罐，复用1000种不同的设备指纹，包括华硕、D-Link、海康威视、TP-Link、小米、华为等主流物联网厂商，从而达到在一个独立IP上同时模拟多个设计的目的。得益于轻量级设计模式，HoneyCC可较容易分布式大量部署于互联网。图4HoneyCC蜜罐局部实现2.4 部署与运营表2协议及端口部署情况协议名称SSHTelnetNTPMemcachedSSDPDNSHTTP类型TCPTCPUDPUDPUDPUDPTCP端口22,222223,23231231121119005380-82,8000-9000header：HTTP头部，body：HTTP主体，banner：扫描回包内容，&：与关系，|：或关系39Computer Era No.9 2023将HoneyCC蜜罐节点分布式部署于多个地区，数据中心部署于北京。通过不断更新迭代资产指纹规则，增强蜜罐捕获能力，半年内共捕获近4.3亿次攻击。这些攻击行为主要分两类：一是针对SSH及Telnet的用户名及密码爆破攻击；二是采用设备特定漏洞的PoC攻击。蜜罐协议端口使用情况如表2所示。3 传播测量分析对捕获的原始数据从源 IP、目的 IP、目的端口、Payload等多个维度展开分析，主要回答以下问题：哪些设备已被感染，归属是谁？哪些设备正被感染？哪些漏洞被用于攻击传播？哪些BotNet家庭最为活跃？3.1 哪些设备已经被感染测量时段内观测到有攻击行为的源 IP 累计共1417652个。这些IP分布于除南极洲外的所有大洲，有设备使用的地方