聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

美国国家标准与技术研究院 (NIST) 和佛罗里达大学的研究人员开展了一项长达三年的蜜罐实验，模拟了多种类型和处于不同位置的低交互物联网设备，阐述了攻击者为何会攻击某类型设备。

具体而言，蜜罐是为了创建足够多样化的生态系统，通过判断攻击者目标来收集所生成的数据。

物联网设备是一个繁荣的市场，包含很多小型联网设备如摄像头、灯、门铃、智能电视、移动传感器、扬声器、恒温器等。据预测，到2025年，超过400亿台设备将联网，从而成为可用于未授权密币挖掘或发动DDoS 攻击的网络入口点或计算资源。

蜜罐设置

研究人员设立的蜜罐生态系统包括三个组件：多个服务器农场、一个审计系统以及数据捕获和分析基础设施。为创建多元化的生态系统，研究人员安装了现成的物联网蜜罐仿真器如Cowrie、Dionaea、KFSensor 和 HoneyCamera。

研究人员将实例配置为看似是 Censys 和 Shodan 两个查找联网服务的搜索引擎上的真实设备。

三种主要的蜜罐类型如下：

• HoneyShell：仿真 Busybox

• HoneyWindowsBox：仿真运行Windows 系统的物联网设备

• HoneyCamera：仿真海康威视、D-Link 和其它设备的多种IP摄像头

这项实验中的一个新元素是，调整蜜罐以响应攻击者流量和攻击方法。

研究人员使用收集到的数据更改物联网配置和防御，之后收集新数据反映行动者对这些变更的响应。

研究结果

结果实验带来了由2260万次点击产生的数据，绝大多数攻击针对的是蜜罐 HoneyShell。

不同的攻击者展示出相似的攻击模式，这可能是因为它们的目标及实现目标的手段是一致的。例如，多数攻击者会运行 “masscan” 等命令扫描开放的端口，运行 “/etc/init.d/iptables stop” 等命令禁用防火墙。另外，很多攻击者运行 “free-m”、“lspci grep VGA” 和 “cat/proc/cpuinfo” 这三个命令收集关于目标设备的硬件信息。有意思的是，近100万次点击测试了”admin/1234”用户名和密码组合，反映了物联网设备对该凭据的过度使用。研究人员发现 HoneyShell 和 HoneyCamera 蜜罐主要被用于发动DDoS 攻击，且经常遭 Mirai 变体或密币挖矿机感染。密币挖矿机感染在 Windows 蜜罐上是最常见的，其次是病毒、释放器和木马。

在 HoneyCamera 案例中，研究人员故意构造漏洞暴露凭据，注意到29个攻击者手动利用该缺陷。研究论文指出，“仅有314,112 (13%) 的唯一会话由蜜罐中至少一个成功的命令执行检测到。这个结果表明仅有一小部分攻击执行了下一个步骤，余下攻击 (87%) 试图找到正确的用户名/密码组合。”

如何保护设备安全

为阻止黑客接管物联网设备，应遵循如下基本措施：

• 将默认账户更改为唯一且强壮（长的）账户

• 为物联网设备设置专门网络并将其与关键资产隔离

• 确保尽快应用任意可用固件或其它安全更新

• 主动监控物联网设备并查找利用迹象

最重要的是，如果设备无需暴露在互联网，则确保设备得到防火墙或VPN保护以阻止越权远程访问。

推荐阅读

我从1组工控系统蜜罐中捞了4个 0day exploits

暗网蜜罐告诉你被泄密码对黑客的诱惑力有多大

德国电信携手因特尔开发物联网蜜罐

联发科固件现窃听漏洞，影响全球约三分之一的手机和物联网设备

BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备

NUCLEUS:13：西门子实时操作系统 Nucleus漏洞影响物联网设备等

原文链接

https://www.bleepingcomputer.com/news/security/honeypot-experiment-reveals-what-hackers-want-from-iot-devices/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~