27、物联网蜜罐攻击分析与安全策略研究

最新推荐文章于 2025-10-06 12:08:11 发布

白露未晞593

最新推荐文章于 2025-10-06 12:08:11 发布

阅读量57

点赞数

CC 4.0 BY-SA版权

分类专栏：移动互联网内容分发的云之道文章标签：物联网蜜罐无文件攻击恶意软件攻击

本文链接：https://blog.youkuaiyun.com/bash7scripter/article/details/149996854

移动互联网内容分发的云之道专栏收录该内容

25 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

物联网蜜罐攻击分析与安全策略研究

1. 重置管理器机制

为保障系统的稳定运行，构建了基于心跳机制的重置管理器。它会周期性地向后端控制器发送心跳消息，一旦后端控制器连续三次未收到心跳消息，就会向QEMU发送重置命令。同时，考虑到部分恶意软件（如Mirai）可能会终止SSH/Telnet服务器进程，重置管理器还会周期性地尝试通过SSH/Telnet连接QEMU，若连接失败也会对QEMU进行重置。以下是其工作流程的mermaid流程图：

graph LR
    A[重置管理器] -->|发送心跳消息| B[后端控制器]
    B -->|连续三次未收到心跳| C[发送重置命令]
    C --> D[QEMU重置]
    A -->|尝试SSH/Telnet连接| E[QEMU]
    E -->|连接失败| D

2. 攻击的总体特征与统计

从2017年6月至2018年6月，对部署的硬件和软件物联网蜜罐所捕获的攻击进行了详细分析。攻击主要分为基于恶意软件的攻击和无文件攻击（文件less攻击）两类。
- 基于恶意软件的攻击流程 ：通常包含三个阶段，即入侵、感染和获利。在入侵阶段，恶意软件多采用暴力破解手段（如使用常见用户名和弱密码）尝试登录物联网设备；成功登录后进入感染阶段，利用wget和tftp等工具下载所需恶意软件；下载完成后，恶意软件会连接到命令与控制（C&C）服务器等待指令，进而发起各类攻击，如DoS攻击和Telnet/SSH扫描。
- 无文件攻击流程 ：在感染阶段，攻击者不下载恶意软件，而是修改系统级文件、设置端口转发和后门等；在获利阶段，除了DoS和Telnet/SSH扫描外，还存在其他攻击目标。

蜜罐类型	可疑连接数量	有效攻击数量	恶意软件攻击数量	无文件攻击数量
硬件蜜罐	超1450万	160万	75万	8万
软件蜜罐	2.49亿	2640万	1460万	140万

平均而言，每个硬件蜜罐每天接收约9930个可疑连接和1100次有效攻击；每个软件蜜罐每天接收约6300个可疑连接和670次有效攻击。与硬件蜜罐相比，软件蜜罐吸引的可疑连接和攻击数量分别减少了37%和39%，可能是由于部分公共云进行了攻击过滤，以及攻击者能够推断出软件蜜罐的虚拟机身份。

3. 基于恶意软件的攻击分析

硬件蜜罐共收集到426种不同类型的恶意软件，可分为七个通用类别；软件蜜罐收集到598种不同类型的恶意软件，涵盖了硬件蜜罐所捕获的所有类型，并可分为九个通用类别。其中，Mirai恶意软件在硬件和软件蜜罐中分别占比73.3%和80.2%。此外，约92.1%的基于恶意软件的攻击针对多种架构的物联网设备，这凸显了灵活的软件物联网蜜罐解决方案的迫切需求。

4. 无文件攻击分类

软件蜜罐捕获了八种不同类型的无文件攻击，而硬件蜜罐仅捕获了其中五种。由于缺乏恶意软件文件，无文件攻击的识别和分类更为困难。通过综合分析各种数据，推断出无文件攻击的行为和意图主要有以下几种：
|攻击类型|占比|描述|
| ---- | ---- | ---- |
|类型I：占用终端系统|1.8%|通过修改物联网设备密码来控制设备，阻止他人登录|
|类型II：损坏系统数据|54.4%|删除或修改配置文件或程序，如移除看门狗守护进程，使设备在故障时无法重启|
|类型III：阻止系统监控/审计服务|8.5%|杀死看门狗进程或停止某些服务，以便更好地利用已知漏洞发起攻击|
|类型IV：检索系统信息|7.4%|获取硬件和系统信息，为后续针对性攻击做准备|
|类型V：窃取有价值数据|23.5%|读取密码和配置文件，虽密码经过加盐和哈希处理，但攻击者仍可能分析用户行为或破解密码|
|类型VI：发起网络攻击|0.3%|发送畸形HTTP请求，利用目标Web服务器漏洞发起DoS攻击，还包括OpenSSL Heartbleed和SQL注入等|
|类型VII：出于不明原因发出其他shell命令|3.8%|如who、help、lastlog等命令，可能用于收集和分析系统用户信息|
|类型VIII：不涉及shell命令的攻击|0.3%|以SSH隧道攻击为例，攻击者利用弱密码的物联网设备构建隧道发起攻击，隐藏真实IP地址，难以追踪|

5. 无文件攻击的关键洞察

攻击的重要性 ：以往对物联网攻击的研究大多集中在基于恶意软件的攻击上，无文件攻击很少被报道，这可能导致人们低估其重要性。实际上，无文件攻击的数量达到了基于恶意软件攻击数量的9.7%，并且能够实现多种强大且隐蔽的攻击目标。
常用命令 ：部分系统组件（由特定shell命令体现）易受到无文件攻击的青睐。例如，rm命令在无文件攻击中的使用率高达48%，而65.7%的无文件攻击是通过rm、kill、ps和passwd等少量命令发起的。对于特定的物联网设备，如果某些常用的shell命令并非必需，制造商可以通过定制设备系统来禁用这些命令，从而减少攻击面。
辅助攻击 ：无文件攻击还可以为基于恶意软件的攻击或后续的无文件攻击提供隐蔽且有效的支持。约39.4%的无文件攻击用于收集系统信息或执行去免疫操作（如关闭防火墙和杀死看门狗），以实现更有针对性和高效的后续攻击。

6. 新的安全挑战与防御方向

基于上述研究，识别出了无文件攻击带来的新安全挑战，并提出了相应的防御解决方案。
- 文件系统修改攻击 ：56.2%的无文件攻击（类型I和类型II）会修改受感染物联网设备的文件系统。为抵御此类攻击，设备制造商应将非root用户作为默认系统用户。
- shell命令攻击 ：99.7%的无文件攻击（类型I - VII）使用shell命令，可通过审计物联网设备的shell命令历史来检测这些攻击。然而，许多物联网设备使用只读文件系统（如SquashFS）以增强安全性，这虽然减轻了基于恶意软件的攻击，但增加了检测无文件攻击的难度。若使文件系统的某些部分可写以启用shell命令日志记录，又可能使恶意软件攻击有机会下载恶意文件。这是无文件攻击带来的一个新的物联网安全挑战，需要在无文件攻击的可审计性和对恶意软件攻击的安全性之间进行权衡。
- 无shell命令攻击 ：0.3%的无文件攻击（类型VIII）既不修改文件系统也不执行shell命令，以SSH隧道攻击为例，攻击者利用弱密码的物联网设备构建隧道发起攻击，隐藏真实来源。建议不适合使用唯一强密码的物联网设备停止向公共互联网提供SSH服务，若用户需要远程操作设备，可通过VPN访问，将SSH服务限制在局域网（LAN）内。

为帮助制造商和管理员有效验证和强化物联网设备的安全性（针对无文件攻击），提出了名为IoTCheck的可操作工作流程，其具体步骤如下：
1. 检查设备是否使用非root用户作为默认系统用户。
2. 评估是否需要启用shell命令日志记录，并权衡其对无文件攻击可审计性和恶意软件攻击安全性的影响。
3. 对于不适合使用强密码的设备，检查是否停止向公共互联网提供SSH服务，是否通过VPN进行远程访问。

通过以上分析和防御策略，能够更好地应对物联网环境中的安全挑战，保护物联网设备和系统的安全。

物联网蜜罐攻击分析与安全策略研究

7. IoTCheck工作流程详解

IoTCheck工作流程是一个综合性的安全检查流程，旨在帮助制造商和管理员有效应对物联网设备面临的无文件攻击威胁。下面对其具体步骤进行详细分析：
- 步骤一：检查默认系统用户
- 目的：防止攻击者通过修改文件系统进行攻击，因为56.2%的无文件攻击会修改受感染物联网设备的文件系统，使用非root用户作为默认系统用户可以降低这种风险。
- 操作：查看设备的系统配置文件，确认默认登录用户是否为非root用户。例如，在Linux系统中，可以通过查看 /etc/passwd 文件来确定默认用户。
- 步骤二：评估shell命令日志记录
- 目的：由于99.7%的无文件攻击使用shell命令，审计shell命令历史可以有效检测这些攻击。但同时要考虑到启用日志记录可能会增加恶意软件攻击的风险，因为这可能使文件系统部分可写，从而给恶意软件提供下载文件的机会。
- 操作：
- 分析设备的文件系统类型，判断是否为只读文件系统（如SquashFS）。
- 评估设备面临的安全威胁程度，如果面临较高的无文件攻击风险，可以考虑使用混合文件系统（如OverlayFS）或版本化文件系统（如Elephant）来实现部分文件系统可写，以启用shell命令日志记录。
- 制定日志记录的规则和保留时间，确保日志数据的有效性和安全性。
- 步骤三：检查SSH服务设置
- 目的：针对0.3%既不修改文件系统也不执行shell命令的无文件攻击，如SSH隧道攻击，通过限制SSH服务的访问范围来降低风险。
- 操作：
- 检查设备是否向公共互联网提供SSH服务，如果是不适合使用唯一强密码的设备（如低 - 端物联网设备），应停止该服务。
- 若用户需要远程操作设备，配置VPN以确保SSH服务仅在局域网（LAN）内可用。可以通过修改设备的网络配置文件或使用网络管理工具来实现。

以下是IoTCheck工作流程的mermaid流程图：

graph LR
    A[开始] --> B[检查默认系统用户]
    B --> C{是否为非root用户}
    C -->|是| D[评估shell命令日志记录]
    C -->|否| E[修改为非root用户]
    E --> D
    D --> F{是否启用日志记录}
    F -->|是| G[检查SSH服务设置]
    F -->|否| H[权衡利弊并决定是否启用]
    H --> G
    G --> I{是否向公网提供SSH服务}
    I -->|是| J[停止公网SSH服务并配置VPN]
    I -->|否| K[结束]
    J --> K

8. 不同蜜罐攻击数据对比分析

为了更直观地了解硬件蜜罐和软件蜜罐在捕获攻击方面的差异，我们对两者的数据进行了进一步对比分析，如下表所示：
|蜜罐类型|可疑连接数量|有效攻击数量|恶意软件攻击数量|无文件攻击数量|捕获的恶意软件类型|
| ---- | ---- | ---- | ---- | ---- | ---- |
|硬件蜜罐|超1450万|160万|75万|8万|426种|
|软件蜜罐|2.49亿|2640万|1460万|140万|598种|

从数据中可以看出：
- 连接和攻击数量 ：软件蜜罐吸引的可疑连接和有效攻击数量远远多于硬件蜜罐，这可能是因为软件蜜罐部署在多个公共云，覆盖范围更广，更容易被攻击者发现。
- 恶意软件攻击 ：软件蜜罐收集到的恶意软件攻击数量和恶意软件类型都多于硬件蜜罐，说明软件蜜罐在捕获恶意软件方面具有更强的能力。
- 无文件攻击 ：虽然软件蜜罐捕获的无文件攻击数量多于硬件蜜罐，但无文件攻击在总攻击数量中的占比相对较低。不过，由于其隐蔽性和潜在的危害性，仍然需要引起足够的重视。

9. 无文件攻击的检测难点与应对思路

无文件攻击由于不依赖恶意软件文件，其检测难度较大。以下是一些检测难点及相应的应对思路：
- 缺乏特征文件 ：传统的基于恶意软件指纹的检测技术无法应用于无文件攻击。
- 应对思路：采用行为分析技术，通过监测系统的异常行为（如异常的shell命令执行、文件系统的异常修改等）来检测无文件攻击。例如，建立正常行为基线，当系统行为偏离基线时发出警报。
- 隐蔽性强 ：部分无文件攻击（如SSH隧道攻击）不涉及shell命令，也没有明显的文件系统变化，难以被发现。
- 应对思路：进行跨社区探索，结合多个安全社区的信息和经验来识别此类攻击。例如，通过分析网络流量的异常模式，结合第三方在线报告，发现潜在的攻击行为。
- 攻击意图难以判断 ：一些无文件攻击发出的shell命令目的不明确，难以准确判断其攻击意图。
- 应对思路：综合分析系统的各种数据，包括系统日志、网络流量、文件系统变化等，结合机器学习算法进行攻击意图的推断。例如，使用聚类算法对相似的攻击行为进行分类，从而更好地理解攻击意图。

10. 未来物联网安全发展趋势展望

随着物联网技术的不断发展，物联网安全面临着新的挑战和机遇。以下是一些未来可能的发展趋势：
- 多维度安全防护 ：单一的安全防护手段已经难以应对复杂的物联网安全威胁，未来需要构建多维度的安全防护体系，包括设备端安全、网络安全、应用层安全等多个层面。例如，结合硬件加密、软件安全机制和网络访问控制等技术，实现全方位的安全防护。
- 人工智能与安全融合 ：人工智能技术在物联网安全领域的应用将越来越广泛。通过机器学习和深度学习算法，可以实现对物联网攻击的实时检测和预测，提高安全防护的效率和准确性。例如，使用深度学习模型对网络流量进行分析，识别潜在的攻击模式。
- 标准化与合规性 ：随着物联网市场的不断扩大，标准化和合规性将变得越来越重要。相关的安全标准和法规将不断完善，设备制造商和服务提供商需要遵循这些标准和法规，确保物联网设备和系统的安全性。例如，制定统一的物联网安全认证标准，对设备进行安全评估和认证。

通过对物联网蜜罐攻击的深入分析和制定相应的安全策略，我们能够更好地应对物联网环境中的安全挑战。同时，关注未来的发展趋势，不断探索新的安全技术和方法，将有助于构建更加安全可靠的物联网生态系统。