兩名研究人員最近開發了一個虛擬蜜罐框架——Honware(論文地址在文末),可以幫助安全研究人員和物聯網製造商比以往任何時候更快地檢測針對網際網路連接設備的零日漏洞。
Honware可以用設備的固件映像來模擬基於Linux的客戶終端設備(CPE)和IoT設備。
據Honware的開發者,劍橋大學計算機實驗室的Alexander Vetterl和Richard Clayton介紹:
Honware能自動處理標準固件映像(通常為更新提供),定製文件系統並使用特殊的預構建Linux內核運行系統。然後,它會記錄攻擊者的流量並記錄哪些行為導致了攻擊。
目前有幾種IoT蜜罐系統可供研究人員使用,但它們都有一個或多個關鍵局限:基於物理設備(意味著研究人員需要購買它們);無法監視大量攻擊者;通常無法檢測和捕獲新的攻擊模式。
不需要物理設備即可工作。
可以輕鬆地模擬成千上萬具有不同固件版本的不同設備。
允許攻擊者完全控制機器(即,它具有很高的交互性),這意味著操作員可以看到並了解漏洞利用的全部工作方式。
更耐指紋攻擊。它可防止基於協議偏差的指紋攻擊或用於識別蜜罐特定配置的指紋攻擊,並且不易受基於定時攻擊的瑣碎指紋攻擊。
Vetterl和Clayton通過在Internet上快速部署多個蜜罐(包括四個品牌的ADSL數據機,TP-Link、D-Link、Eminent和ipTIME)測試了Honware,並檢測到已知和以前未知的攻擊:
特別是,在ipTIME仿真路由器上,我們觀察到未知的攻擊,其中路由器中的默認DNS設置被更改為惡意IP位址。我們隨後發現它不僅影響ipTIME,而且影響其他品牌。
Vetterl指出:當前的問題是,攻擊者利用了越來越多的易受攻擊的設備,基於物聯網的殭屍網絡正在快速增長。但是,我們通常不知道這些設備的實際利用方式。
目前,我們為各種協議運行通用蜜罐,但是它們通常不能返回適當的有效載荷來學習攻擊的後續部分。這不僅對我們來說是一個問題,Netlab360在2018年跟蹤UPnPHunter時也遭遇了類似的問題,他們'不得不多次調整和定製我們的蜜罐'。
並且,由於人們現在有了快速的無狀態掃描工具(Shodan、Censys.io、Thingful等),因此易受攻擊的設備很快就被殭屍網絡捕獲。對於攻擊者來說,唯一的實質性成本是檢測漏洞本身,但是現在找到易受攻擊的設備非常方便快捷。
目前,Honware僅限於用於ARM和MIPS架構的基於Linux的設備,據Vetterl稱,他們暫時沒有任何計劃添加其他架構。不過,隨著其他體系結構變得越來越流行,重新編譯Linux內核應該不會很困難。
我們絕對需要研究進一步的指紋識別問題,即如果我們大規模部署蜜罐,攻擊者將如何檢測到它們。
Vetterl還表示暫時不會將Honware開源,因為這將使攻擊者更容易發現並繞過正在使用Honware技術的蜜罐。
最後,對於那些最終使用Honware的用戶來說,必須密切監視傳出的流量和連接。因為 Honware能夠完全模擬設備,這意味著固件版本中存在的任何漏洞也將出現在模擬中。在沒有密切監視的情況下,蜜罐本身可以被用作代理、服務惡意軟體、挖掘加密貨幣或「攻擊」其他系統。
Honware可檢測零日漏洞的物聯網虛擬蜜罐框架:
https://www.cl.cam.ac.uk/~amv42/papers/vetterl-clayton-honware-virtual-honeypot-framework-ecrime-19.pdf