26、利用 HoneyCloud 理解物联网安全-优快云博客

本文链接：https://blog.youkuaiyun.com/bash7scripter/article/details/149996853

利用 HoneyCloud 理解物联网安全

1. 物联网安全洞察

1.1 现有防御机制挑战

当前物联网设备的出站网络流量复杂，现有基于主机的防御机制难以有效检测。攻击者利用各种信息判断设备真实性，例如在硬件蜜罐测试中，9132 次攻击执行了如 lscpu 等命令来获取敏感系统信息。

1.2 文件无攻击的新挑战与防御方向

文件无攻击在文件系统上不留痕迹，但几乎所有捕获的文件无攻击都使用了 shell 命令，可通过审计物联网设备的 shell 命令历史来检测。然而，许多物联网设备使用只读文件系统来抵御基于恶意软件的攻击，却意外增加了检测文件无攻击的难度，这是文件无攻击可审计性与抗恶意软件攻击安全性之间的基本权衡。

此外，大部分（65.7%）文件无攻击是通过 rm 、 kill 、 ps 和 passwd 等少量命令发起的，这些命令在蜜罐和实际的 Linux 物联网设备中默认启用。对于特定用途的物联网设备，并非所有这些命令都是必需的，因此可以通过禁用这些命令来有效减少攻击面。

1.3 IoTCheck 工作流程

基于上述洞察，我们开发了 IoTCheck 工作流程，为 Linux 物联网设备的制造商和管理员提供安全检查指导，并给出易于遵循的防御建议。同时，我们还在 https://honeycloud.github.io 上发布了研究收集的数据以及构建蜜罐的定制代码。

2. 蜜罐部署概述

蜜罐是理解已知和未知攻击的有效工具，本文的物联网蜜罐部署方案 HoneyCloud 包括硬件物联网蜜罐和基于云的软件物联网蜜罐。

2.1 硬件物联网蜜罐

我们在四个不同地理位置部署了硬件物联网蜜罐，具体信息如下表所示：
| 蜜罐编号 | 城市 | 设备及价格 | CPU 架构 | 内存 | 每月互联网接入费用 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| 1 | 美国纽约 | Raspberry Pi，20 美元 | ARM @700 MHz | 256 MiB | 80 美元，ISP: Comcast |
| 2 | 美国圣何塞 | Netgear R6100，55 美元 | MIPS Big - Endian @560 MHz | 128 MiB | 80 美元，ISP: Comcast |
| 3 | 中国北京 | BeagleBone，45 美元 | ARM @720 MHz | 256 MiB | 20 美元，ISP: Unicom |
| 4 | 中国深圳 | Linksys WRT54GS，40 美元 | MIPS Little - Endian @200 MHz | 32 MiB | 20 美元，ISP: Telecom |
| * | - | 远程控制电源适配器 (RCPA)，30 美元 | N/A | N/A | 美国 30 美元，ISP: Comcast；中国 10 美元，ISP: Unicom/Telecom |

从 2017 年 6 月到 2018 年 6 月，硬件物联网蜜罐吸引了 1450 万次可疑连接，其中 160 万次成功登录并被视为有效攻击，包括 75 万次基于恶意软件的攻击和 8 万次文件无攻击，其余 79 万次登录后无操作无法分类。

然而，硬件物联网蜜罐成本高且维护开销大，四个硬件蜜罐的设备成本为 280 美元，每月互联网连接费用为 280 美元，考虑到物联网设备的典型寿命，每月基础设施费用约为 300 美元，且维护时需要手动检查底层基础设施依赖。

2.2 软件物联网蜜罐

基于硬件物联网蜜罐的经验，我们构建了可在云端大规模部署的软件物联网蜜罐。自 2017 年 6 月起，我们在全球八个公共云的 108 个 VM 实例上部署了软件物联网蜜罐，截至 2018 年 6 月，观察到 2.49 亿次可疑连接，其中 10.6% 成功登录成为有效攻击，包括 1460 万次基于恶意软件的攻击和 140 万次文件无攻击，其余 1040 万次登录后无操作无法分类。

由于物联网设备硬件通常较低端，我们只需租用入门级 VM 实例来承载软件蜜罐，典型配置为单核 CPU @2.2GHz、512 MB 内存、10 - 40 GB 存储和 100 Mbps 网络带宽。

3. 硬件物联网蜜罐设计与实现

3.1 硬件蜜罐组成

硬件蜜罐实现由三部分组成：
1. 基本硬件，包括网络接口卡 (NIC)、RAM 和 CPU/GPU。
2. OpenWrt 操作系统。
3. 用于吸引攻击者的蜜罐服务。

3.2 攻击记录与处理

硬件蜜罐记录攻击者的所有操作，并将这些操作报告给数据收集器。我们向攻击者暴露 ash （BusyBox 提供的 shell），以记录他们执行 shell 命令时的操作。通过修改影子文件将 root 用户密码设置为 root ，并在端口 22 上提供 Dropbear 的 SSH 服务，在端口 23 上提供 BusyBox 的 Telnet 服务。

当检测到攻击时，我们捕获攻击的威胁信息并重置蜜罐。实现中使用 initramfs 实现内存文件系统，重置后系统状态的所有修改将丢失。

3.3 远程控制电源适配器 (RCPA)

为了应对攻击者禁用 Linux 内置看门狗的情况，我们构建了远程控制电源适配器 (RCPA) 来物理重启蜜罐。RCPA 由 Arduino、电源继电器和以太网模块组成，使用 MQTT 协议从电源控制器订阅重启主题，收到重启命令后触发电源继电器对蜜罐进行断电和通电操作。

3.4 硬件蜜罐部署经验与对软件蜜罐的启示

硬件物联网蜜罐部署和维护具有挑战性，成本高且难以扩展。这促使我们构建基于云的软件物联网蜜罐，同时硬件蜜罐的测量数据为软件蜜罐的保真度提供了重要启示：
1. 软件蜜罐应能伪造真实的系统信息（如 CPU 信息），以避免攻击者通过 lscpu 和 cat /proc/cpuinfo 等命令检测到是 VM 实例上的蜜罐。
2. 应启用常见总线，以应对攻击者使用 lsusb 等命令检测潜在蜜罐的情况。

4. 软件物联网蜜罐设计

4.1 整体架构

软件物联网蜜罐设计扩展了数据收集器和电源控制器，以集成硬件物联网蜜罐，并在电源控制器中实现了软件物联网蜜罐的重置功能。其内部结构由三个模块组成：高保真维护器、Shell 拦截器和推理终端、访问控制器。软件物联网蜜罐可以模拟多种典型的物联网设备，如 Intel Galileo Gen 1（x86）、Dreambox 600 PVR（PowerPC）等。

4.2 高保真维护器

4.2.1 定制 QEMU 配置

为了提高软件蜜罐的保真度，我们调整每个软件蜜罐中 QEMU 的硬件配置，使其在能力上类似于所模拟的物联网设备。选择与模拟物联网设备 CPU 指标最匹配的 CPU 配置文件，并将内存容量设置为与模拟设备相同。由于使用 initramfs 实现内存文件系统，无需模拟磁盘（大多数物联网设备没有磁盘）。

4.2.2 屏蔽敏感系统信息

攻击者可以根据系统和内核信息（如检查 /proc ）探测物联网设备是否由 VM 模拟，因此我们屏蔽 VM 系统和内核信息，在 OpenWrt 中伪造 /proc/cpuinfo ，使其看起来像真实物联网设备使用的商用 CPU。

4.2.3 公共云 VM 实例重新排列

为了降低攻击者根据 IP 地址识别基于 VM 的蜜罐的可能性，我们采取了两种方法：
1. 从八个公共云租用 VM 实例时，分散选择 VMs 的区域、可用区和区内 IP 范围。
2. 利用公共云提供的弹性 IP 地址选项，定期更改每个软件蜜罐的 IP 地址。在部署的前六个月，发现 AWS 上的平均蜜罐捕获的攻击比其他公共云上的平均蜜罐少 6.7%，因此我们将一些蜜罐从 AWS 迁移到 Vultr。

4.3 Shell 拦截器和推理终端

4.3.1 Shell 拦截器

我们修改了 Dropbear 以恢复 SSH 会话的整个交互过程，具体跟踪连接、登录、窗口调整大小、数据交换和注销等事件。当数据数据包到达服务器时，首先将其解密为明文，然后由数据包处理器检测数据包类型，重点关注 CHANNEL_DATA （实际终端数据）和 CHANNEL_WINDOW_ADJUST （来自终端模拟器的调整大小事件），将明文终端数据和调整大小事件发送到推理终端进行进一步分析。

4.3.2 推理终端

虽然 Shell 拦截器获取了明文数据，但数据中仍有控制字符和转义序列需要处理。我们使用 pyte （与 VTxxx 兼容的终端模拟器）来恢复交互的上下文，修改 pyte 程序以恢复完整的交互历史，而不是逐屏获取交互信息。将特殊控制字符和转义序列转换为明文，同时存储按键记录以处理可能的隐藏输入（如密码）。跟踪窗口调整大小事件有两个原因：一是终端窗口大小对于恢复可能跨行的字符至关重要；二是它是区分人类攻击者和自动脚本的标志。

4.3.3 证据收集

为了收集尽可能多的信息用于调查和取证，我们还报告和记录以下信息：
1. CPU 使用率，作为复杂计算执行的重要指标，可用于识别新型网络攻击（如加密货币挖掘和勒索软件）。
2. 进程列表，用于跟踪任何意外的可疑进程，指示潜在威胁。
3. 网络数据包，使用 libpcap 捕获几乎完整的网络活动跟踪，过滤掉发送到推理终端的数据包和攻击者与蜜罐之间的 SSH 数据包。

4.4 访问控制器

为了防止攻击者利用被攻陷的软件蜜罐攻击更多物联网设备，我们采用数据驱动的方法进行访问控制。使用 Snort （运行在主机 VM 实例上）监控进出的数据包流量，通过分析 Snort 生成的报告，识别数据流量的不对称性，将其作为公共云阻止潜在攻击的指标。

以下是 Shell 拦截器工作流程的 mermaid 流程图：

graph LR
    A[数据数据包到达服务器] --> B[解密为明文]
    B --> C[数据包处理器检测类型]
    C -->|CHANNEL_DATA| D[明文终端数据发送到推理终端]
    C -->|CHANNEL_WINDOW_ADJUST| E[调整大小事件发送到推理终端]

综上所述，通过 HoneyCloud 蜜罐部署方案，我们能够更好地理解物联网安全威胁，并为物联网设备的安全防护提供有力支持。无论是硬件蜜罐还是软件蜜罐，都在不同方面发挥着重要作用，而 IoTCheck 工作流程则为物联网设备的安全检查和防御提供了实用的指导。

5. 蜜罐部署方案总结与优势

5.1 综合部署优势

HoneyCloud 的硬件和软件物联网蜜罐综合部署方案具有显著优势。硬件蜜罐虽然成本高、维护复杂，但能提供真实的设备环境，吸引大量攻击，为研究攻击者行为和攻击手段提供了丰富的数据。而软件蜜罐则可在云端大规模部署，成本相对较低，且能模拟多种不同架构的物联网设备，扩大了攻击面的监测范围。

蜜罐类型	优点	缺点
硬件物联网蜜罐	提供真实设备环境，数据真实可靠	成本高，维护开销大，难以扩展
软件物联网蜜罐	可大规模部署，成本低，能模拟多种设备	可能存在一定的仿真差异

5.2 对物联网安全研究的推动

通过 HoneyCloud 蜜罐收集的数据，我们对物联网安全威胁有了更深入的理解。例如，发现了文件无攻击这一新型威胁及其特点，为物联网安全研究提供了新的方向。同时，基于这些数据开发的 IoTCheck 工作流程，为物联网设备制造商和管理员提供了实用的安全检查和防御建议，有助于提高整个物联网生态系统的安全性。

6. 未来展望与潜在改进

6.1 蜜罐技术的持续改进

虽然目前的蜜罐技术已经取得了一定的成果，但仍有改进的空间。例如，进一步提高软件蜜罐的保真度，使其在各个方面都更接近真实的物联网设备，减少被攻击者识别的可能性。可以通过不断优化 QEMU 配置和系统信息伪造方法，以及模拟更多真实设备的特性来实现。

6.2 应对新型攻击的能力提升

随着物联网技术的不断发展，新的攻击手段也会不断涌现。未来需要加强蜜罐对新型攻击的检测和分析能力，例如针对人工智能驱动的攻击、量子计算相关的攻击等。可以通过引入新的检测算法和技术，结合机器学习和深度学习方法，提高对未知攻击的识别能力。

6.3 安全生态系统的协同发展

物联网安全不仅仅依赖于蜜罐技术，还需要整个安全生态系统的协同发展。未来可以加强与其他安全设备和系统的集成，如防火墙、入侵检测系统等，实现数据共享和协同防御。同时，推动物联网设备制造商在产品设计阶段就考虑安全因素，从源头上减少安全漏洞的产生。

以下是未来物联网安全发展方向的 mermaid 流程图：

graph LR
    A[蜜罐技术改进] --> B[提高软件蜜罐保真度]
    A --> C[优化检测算法]
    D[应对新型攻击] --> E[人工智能攻击检测]
    D --> F[量子计算攻击防护]
    G[安全生态协同] --> H[与其他安全设备集成]
    G --> I[推动源头安全设计]

7. 实际应用案例与效果评估

7.1 某企业物联网安全防护案例

某企业拥有大量的物联网设备，面临着日益严峻的安全威胁。该企业采用了 HoneyCloud 蜜罐部署方案进行安全监测。通过硬件和软件蜜罐的协同工作，成功捕获了大量的可疑攻击，包括文件无攻击和基于恶意软件的攻击。

在部署后的一段时间内，企业根据 IoTCheck 工作流程对设备进行了安全检查和优化，发现并修复了多个安全漏洞。同时，通过分析蜜罐收集的数据，企业了解了攻击者的常用手段和目标，有针对性地加强了安全防护措施，有效降低了企业物联网系统遭受攻击的风险。

7.2 效果评估指标

为了评估 HoneyCloud 蜜罐部署方案的效果，我们可以采用以下指标：
1. 攻击捕获数量 ：反映蜜罐吸引和捕获攻击的能力，攻击捕获数量越多，说明蜜罐的部署效果越好。
2. 有效攻击识别率 ：即成功登录并被视为有效攻击的比例，有效攻击识别率越高，说明蜜罐对攻击的检测能力越强。
3. 安全漏洞发现数量 ：通过分析蜜罐收集的数据，发现的物联网设备安全漏洞数量，安全漏洞发现数量越多，说明蜜罐对安全隐患的挖掘能力越强。
4. 安全事件响应时间 ：从发现攻击到采取防御措施的时间，安全事件响应时间越短，说明企业的安全防护体系越高效。