IoT 設備安全有妙招？蜜罐盲盒搖一搖！

作為一種主動的入侵檢測技術，蜜罐宛如一枚香甜的誘餌。它能夠創建一個足夠多樣化的生態系統，引誘它的對手暴露目標，并對生成的數據進行聚類。

IoT設備與蜜罐的關聯

IoT設備具備蓬勃發展的市場，包括小型互聯網連接設備，如攝像頭，燈，門鈴，智能電視，運動傳感器，揚聲器，恒溫器等等。據估計，到 2025 年，這些設備中將有超過 400 億臺連接到互聯網，提供可用于未經授權的加密挖掘或者作為 DDoS 群的一部分的網絡入口點或計算資源。

為期三年的蜜罐實驗就是以各種類型和位置的模擬低交互IoT設備為特色的。通過它，研究人員可以清楚地了解到為什么參與者會以特定設備作為攻擊目標，從而針對這些信息，制定應對策略防范于未然。

探秘蜜罐生態系統

NIST 和佛羅里達大學的研究人員建立的蜜罐生態系統的三個組成部分包括服務器群、審查系統以及數據捕獲和分析基礎設施。

為了創建一個多樣化的生態系統，研究人員安裝了 Cowrie、Dionaea、KFSensor 和 HoneyCamera，它們是現成的物聯網蜜罐模擬器。

研究人員將他們的實例配置為在 Censys 和 Shodan 這兩個尋找互聯網連接服務的專業搜索引擎上顯示為真實設備。

三種主要類型的蜜罐如下：

1、HoneyShell – 模擬 Busybox

2、HoneyWindowsBox – 模擬運行 Windows 的物聯網設備

3、HoneyCamera – 模擬來自Hikvision、D-Link 和其他設備的各種 IP 攝像機。

實驗布局 來源：Arxiv.org

這次實驗中的一個新元素是調整蜜罐以響應攻擊者流量和攻擊方法。研究人員首先使用收集的數據來更改物聯網配置和防御，再收集反映參與者對這些變化的反應的新數據。

實驗結果見分曉

這次的實驗產生了來自2260萬次點擊的數據，其中絕大多數都是針對HoneyShell蜜罐的。

每個蜜罐類型的命中數 來源：Arxiv.org

其中，不同的參與者表現出了類似的攻擊模式，這或許是因為他們具有共同的目標和實現目標的手段。例如，大多數參與者運行了諸如"masscan"之類的命令來掃描打開的端口，并運行了"/etc/init.d/iptables stop"來禁用防火墻。

此外，許多參與者運行"free -m"，"lspci grep VGA"和"cat /proc/cpuinfo"，這三者都旨在收集有關目標設備的硬件信息。

有趣的是，近一百萬次點擊測試了"admin / 1234"用戶名 - 密碼組合，這反映了物聯網設備中憑據的過度使用。

最后，研究人員還發現，最后，研究人員還發現，盡管HoneyShell和HoneyCamera是為監測DDoS攻擊設計，但大多時候它們會同時感染挖礦軟件。

據統計，挖礦軟件是Windows蜜罐監測到最多的惡意軟件，其次是病毒，dropper和特洛伊木馬。

HoneyWindowsBox 為目標的攻擊類型 來源：Arxiv.org

在HoneyCamera的案例中，研究人員故意設計了一個漏洞來揭示credentials。他們注意到 29 名參與者參與了手動利用該漏洞。

HoneyCamera布局 來源：Arxiv.org

“只有 314 112 (13 %) 個獨特的會話被檢測到，蜜罐內至少有一個成功的命令執行，”研究論文解釋道。

“這個結果表明，只有一小部分攻擊執行了下一步，其余的 (87%) 只是試圖找到正確的用戶名/密碼組合。”

防范于未然

想要防止黑客接管您的 IoT 設備，可以遵循以下幾個基本措施：

1、將默認帳戶更改為獨特且強大（長）的內容。

2、為 IoT 設備設置單獨的網絡，并使其與關鍵資產隔離。

3、確保盡快應用任何可用的固件或其他安全更新。

4、積極監控您的 IoT 設備并尋找被利用的跡象。

最重要的是，如果設備不需要暴露在互聯網上，要確保它位于防火墻或 VPN 后，這樣有助于預防未經授權的遠程訪問。