Трехлетний эксперимент с приманками с использованием имитированных устройств Интернета вещей с низким уровнем взаимодействия различных типов и местоположений дает четкое представление о том, почему субъекты нацелены на определенные устройства.
В частности, приманка предназначалась для создания достаточно разнообразной экосистемы и кластеризации сгенерированных данных таким образом, чтобы определять цели злоумышленников.
Устройства IoT (Интернет вещей) - это быстроразвивающийся рынок, который включает в себя небольшие устройства с подключением к Интернету, такие как камеры, освещение, дверные звонки, интеллектуальные телевизоры, датчики движения, динамики, термостаты и многое другое.
По оценкам, к 2025 году более 40 миллиардов этих устройств будут подключены к Интернету, обеспечивая точки входа в сеть или вычислительные ресурсы, которые можно будет использовать для несанкционированного майнинга криптовалют или как часть роя DDoS.
Подготовка сцены
Три компонента экосистемы приманок, созданной исследователями из NIST и Университета Флориды, включали серверные фермы, систему проверки и инфраструктуру сбора и анализа данных.Чтобы создать разнообразную экосистему, исследователи установили Cowrie, Dionaea, KFSensor и HoneyCamera, которые представляют собой готовые эмуляторы приманок для Интернета вещей.
Исследователи настроили свои экземпляры так, чтобы они отображались как реальные устройства в Censys и Shodan, двух специализированных поисковых системах, которые находят подключенные к Интернету службы.
Три основных типа приманок были следующими:
- HoneyShell - эмуляция Busybox
- HoneyWindowsBox - Эмуляция устройств Интернета вещей под управлением Windows
- HoneyCamera - Эмуляция различных IP-камер Hikvision, D-Link и других устройств.
Макет эксперимента
Источник: Arxiv.org
Новым элементом этого эксперимента является то, что приманки были настроены для ответа на трафик злоумышленников и методы атаки.
Исследователи использовали собранные данные для изменения конфигурации и защиты IoT, а затем собрали новые данные, отражающие реакцию субъекта на эти изменения.
Находки
В ходе эксперимента были получены данные из 22,6 миллионов обращений, подавляющее большинство из которых было нацелено на приманку HoneyShell.
Количество совпадений для каждого типа приманки
Источник: Arxiv.org
Различные субъекты демонстрировали похожие модели атак, вероятно, потому, что их цели и средства их достижения были общими.
Например, большинство участников запускают такие команды, как «masscan» для поиска открытых портов и «/etc/init.d/iptables stop» для отключения межсетевых экранов.
Кроме того, многие акторы запускают «free -m», «lspci grep VGA» и «cat / proc / cpuinfo», все три нацелены на сбор информации об оборудовании целевого устройства.
Интересно, что почти миллион обращений проверял комбинацию имени пользователя и пароля «admin / 1234», что отражает чрезмерное использование учетных данных в устройствах IoT.
Что касается конечных целей, исследователи обнаружили, что приманки HoneyShell и HoneyCamera были нацелены в основном на набор DDoS-атак и часто также были заражены вариантом Mirai или майнером монет.
Заражение майнером монет было наиболее частым наблюдением в приманке Windows, за которым следовали вирусы, дропперы и трояны.
Типы атак, нацеленных на HoneyWindowsBox
Источник: Arxiv.org
В случае с HoneyCamera исследователи намеренно создали уязвимость для раскрытия учетных данных и заметили, что 29 участников использовали уязвимость вручную.
Макет HoneyCamera
Источник: Arxiv.org
«Только 314 112 (13%) уникальных сеансов были обнаружены с хотя бы одним успешным выполнением команды внутри приманок», - поясняется в исследовательской статье .
«Этот результат указывает на то, что лишь небольшая часть атак выполнила свой следующий шаг, а остальные (87%) пытались только найти правильную комбинацию имени пользователя и пароля».
Как обезопасить свои устройства
Чтобы не дать хакерам захватить ваши IoT-устройства, соблюдайте следующие основные меры:- Измените учетную запись по умолчанию на что-нибудь уникальное и сильное (длинное).
- Настройте отдельную сеть для устройств IoT и держите ее изолированной от критически важных ресурсов.
- Обязательно как можно скорее примените все доступные прошивки или другие обновления безопасности.
- Активно следите за своими IoT-устройствами и ищите признаки эксплуатации.
Перевод - Google
Bleeping Computer
