【网络安全】-- 我眼中的物联网蜜罐

物联网蜜罐

1、蜜罐

1.1 定义

蜜罐是一类没有实际业务用途的网络安全资源,本质是一种对攻击方进行欺骗的技术。
蜜罐是一种安全资源，没有任何业务上的用途，价值就是吸引对方对他进行非法利用。

1.2 作用

对攻击方进行欺骗，通过部署一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的方法和工具，推测攻击意图和动机，以便于防御方清晰了解自身所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

2、物联网蜜罐

物联网终端设备存在的安全威胁：

• 缺乏身份认证: 物联网设备直接跳过了用户的身份验证环节，无法识别用户是否具有访问权限，不能有效控制用户的访问
• 使用默认配置: 大部分物联网设备在出厂时都会设置默认的用户名和密码，并且部分设备本身无法改变默认的用户名和密码
• 固件不更新: 固件中存在问题甚至是漏洞
• 网络安全性薄弱: 由于网络本身防火墙等存在缺陷，或者未及时更新防火墙的配置，导致攻击者利用网络缺陷可悄无声息地渗透到物联网系统中，对物联网设备发动攻击

物联网蜜罐概念

指以物联网计算、网络、感知及执行等资源为诱饵, 部署于真实物联网设备周边，具有物联网安全威胁发现、捕获、分析和告警功能，保护真实物联网设备的网络欺骗技术。

主要思想

通过对物联网终端系统进行高相似度的仿真，诱骗攻击者对虚拟终端实施攻击意图，捕获到更多有价值的攻击样本，加强系统安全防护。

2.1 构成

• 物联网诱饵环境
• 监控模块

诱饵环境

• 诱饵接口：攻击者侵入蜜罐系统的必要通信入口，包括:HTTP,SSH,Telnet,USB等常见的物联网通信接口
• 执行环境：物联网正常服务或恶意代码执行的系统依赖环境，即尽可能真实且可交互的系统环境，包括
  • 文件系统环境
  • 程序执行环境
  • 底层硬件环境甚至网络环境，
  • 例如：模拟出系统的文件系统信息、进程信息、网络状态等
• 物理业务模型：包括物联网设备的物理信息感知、执行器的物理操作和状态变化。

监控模块

• 数据捕获：记录物联网蜜罐中的所有攻击活动
• 安全控制：限制攻击者的操作范围，保证蜜罐系统自身的安全性

2.2 实现原理

物联网终端蜜罐在部署之前对应蜜罐所模拟的主要功能，编写配置文件，完成系统各模块的配置。模拟物联网终端设备控制程序，仿真终端设备系统的环境，充分起到迷惑欺骗攻击者的效果，攻击者误以为已经进入真实的物联网终端系统.

一开始，蜜罐系统有目的性地开放特定的端口并运行特定的服务，引诱攻击者与蜜罐建立端口连接，远程弱口令登陆蜜罐。攻击者成功登陆后就自动进入蜜罐模拟的物联网终端系统中，通常在攻击者进入系统后向攻击者显示当前模拟的终端设备信息和协议信息，或者是向攻击者展示当前模拟的终端系统场景。

eg：攻击进入以后，不断播放展示摄像头直播画面，目的是欺骗攻击者对当前模拟的物联网终端系统深信不疑。诱骗攻击者远程登陆蜜罐后，然后才会进入具体的攻击过程，实施攻击操作。

物联网终端蜜罐系统可对攻击者的行为和信息进行记录，记录攻击者的 IP 地址、MAC地址、开放的端口、运行的服务等基本信息，以及攻击者对蜜罐执行的所有的操作命令都能够被完整地记录。完整的攻击样本数据为安全人员后续的分析利用提供了宝贵的资源信息。

2.3 应用价值

被动防御转为主动型防御,面对破坏力极强的大规模入侵，不仅仅是只能进行弥补系统漏洞加固系统防御，除了完善自身系统以外，甚至已经能够实现反向渗透、反向控制攻击者主机。应对入侵出击这方面取得较大的突破，很大程度上提高了终端系统的入侵防护能力。

• 有利于蜜罐系统捕获到更多更全面的针对物联网终端的攻击样本数据
• 根据样本数据分析攻击者的攻击方法和手段
• 通过分析，了解当前物联网系统的缺陷所在，结合已有的防护措施作出改进，加强真实的物联网终端系统的防御能力
• 引诱攻击者攻击以后，蜜罐可对攻击者执行反向的操作
  • 反向扫描攻击者主机开放的端口和服务，尝试登录攻击者主机
  • 对攻击者主机进行反向渗透，实现对攻击者主机的强有力的控制

2.3 分类

应用类型

• 工控蜜罐：模拟联网的工业控制设备

• 消费级物联网蜜罐：以网络摄像头、打印机等网络实体设备为参考对象, 分析这些设备所遭受的攻击来源和行为特征

• 信息物理系统蜜罐
  是一个综合计算、网络和物理环境的多维复杂系统，是集成计算、通信与控制于一体的下一代智能系统。通过人机交互接口实现和物理进程的交互，使用网络化空间以远程的、可靠的、实时的、安全的、协作的方式操控一个物理实体。

交互类型分类

• 低交互类型
  • 仅实现物联网诱饵接口模拟的蜜罐
  • 捕获攻击 IP、端口、协议、请求载荷等威胁信息
• 中交互类型
  • 能够实现设备系统执行环境模拟的蜜罐
• 高交互类型
  • 高交互蜜罐能够实现物联网信息空间与物理空间执行及操作环境模拟。提供给攻击者一个真实的操作系统，攻击者可以与其进行充分的交互

诱饵类型分类

• 实物蜜罐：原装的软硬件设备作为物联网诱饵的蜜罐。拥有真实的硬件、操作系统和应用服务, 具备对未知攻击较强的响应能力,往往对攻击者有极大的引诱性

• 虚拟蜜罐：通过预先设定的诱捕需求, 用软件模拟相关操作系统和业务, 诱导攻击者入侵隔离的虚拟诱饵环境

• 半实物蜜罐：同时采用实物与软件仿真的蜜罐.

2.4 形态

基本形态就是如下：

在此基础上，提出了蜜网（Honeynet）、蜜场（Honeyfarm）、蜜标（Honeytoken）的概念

蜜网

在同一网络中配置多个诱饵节点的蜜罐系统形态。

蜜场

蜜场形态如下所示，通过代理的方式扩展诱饵节点部署范围的形态。

• 真实设备和监控模块集中在一个固定的节点或网络中, 便于实现对实物设备的管理维护和数据集中分析
• 轻量级的代理部署在任意网络节点中, 将网络攻击重定向至诱饵环,从而扩展诱饵节点部署范围

2.5 发展

物联网蜜罐按时间顺序依次从工控蜜罐、消费级物联网蜜罐以及信息物理系统蜜罐三条主线开展研究。

3、与蜜罐的异同

相同

• 组成一样：都是由诱饵环境和监控环境组成。
• 单一数据点：只能发现针对自己的行为，如果攻击者没有攻击蜜罐，而是闯入真实的设备或系统中，这时候发现不了问题。
• 指纹：指纹的存在会让攻击者容易发现蜜罐的存在，此时发送大量错误数据将会导致错误分析得出错误结果
• 风险高：吸引攻击者攻击，也会将风险带到网络中，如果一单受控，可能会被利用，从而对系统造成更大的威胁

异同

• 物联网蜜罐具有很大的物理融合性。
  物联网蜜罐参考的业务通常与物理空间感知和操作相关, 如机械操作、图像传输、温度传感等。物联网诱饵环境在构造过程中需兼顾物理空间和信息空间的融合仿真, 以实现深度的交互能力。
• 诱饵多样性。物联网蜜罐硬件平台多源异构，异源异构，不同厂商或型号的操作系统和多源异构的硬件模块,例如基于不同的CPU架构，不同的操作系统，多样化的硬件资源。同时, 多样化诱饵环境也对数据捕获和安全控制的能力提出了更高的要求

4、物联网蜜罐的关键技术

4.1 重定向技术

通过连接不同地理空间或不同类别的诱饵环境, 进行统一的攻击诱导、流量分配和数据采集。
根据攻击特征对攻击流进行切换，通过重定向功能将恶意流量重定向到响应的蜜罐中，例如：端口重定向。

重定向技术大致分为四个部分：

• 在入侵阶段，蜜场需要对网络流量进行解析和分类，为转发决策提供依据，
• 在转发决策阶段，构建决策模型将不同流量进行区分（正常或非正常）
• 在流量调度模块，通过TCP重放或代理的方式将攻击诱导向不同的目标
• 在请求响应阶段，整合不同诱饵的响应进行筛选分析，选择最佳响应返回给攻击者
  

4.2 蜜罐识别与反识别技术

一旦攻击者识别出蜜罐，则蜜罐将失去意义。

反蜜罐

蜜罐识别就是反蜜罐，本质就是分析蜜罐和真实设备之间的差异，通过检测蜜罐各类指纹特征对蜜罐进行区分。下面将对相关的蜜罐识别特征进行简单阐述。

1、时间差异

由于蜜罐监控模块的额外开销，所以攻击者命令的执行时间会明显延长，所以网络层的延迟可以作为蜜罐指纹。
07年美国新墨西哥理工大学用实验证明：虚拟蜜罐对ICMP回应请求的响应确实比实际系统慢。

2、软硬件差异

大部分蜜罐都采用了硬件虚拟化的方式进行资源模拟，与实际的业务系统的执行环境存在明显差异，

软件实现上，2007年卡内基·梅隆大学Brumley等表示通过从二进制文件中自动构建符号公式，可以在HTTP和NTP的协议实现中找到蜜罐系统与真实系统的差异

2014年SANS技术研究所的报告指出攻击者可使用“file /sbin /init”命令的动态返回值识别Kippo蜜罐(一款强大的SSH蜜罐工具)
https://www.sohu.com/a/322443743_354899
大部分蜜罐对物理域采集与执行设备的实现不完善, 其感知数据违背物理规律, 如温度传递、水位感知等实现过程容易被攻击者识别

3、网络差异

通过网络响应来识别漏洞和提取网络服务特征的基本研究方法，常用的工具包括Nmap和Zmap。
Zmap：一种快速单包网络扫描器
Nmap：是一款开放源代码的网络探测和安全审核的工具

4.3 数据分析技术

物联网蜜罐两种分析方式

• 统计分析：针对原始数据进行统计和查询，包括攻击源、目标活动和二进制文件的分析
• 深度分析：对攻击者的隐藏特征进行挖掘和推理

5、HFish框架

自己部署-蜜罐

链接：https://192.168.30.44:4433/web/threatList
用户名：admin
密码：Hfish2021

开发方案

使用HFish作为物联网蜜罐框架.
HFish是一款基于Golang 开发的跨平台轻量级多功能主动诱导型蜜罐平台。

• 作为物联网中的情报收集者，HFish能够时刻捕捉网络中的攻击行为，窃听入侵者之间的联系，收集入侵者所用的种种工具，甚至掌握他们的社交网络。
• HFish提供API接口，将捕获到的入侵信息与各种不同平台进行情报共享，包括入侵时间、入侵类型、入侵者IP等信息。
• 通过编写程序，以轮询的方式实时向多个HFish蜜罐查询是否存在入侵行为。
• 由于蜜罐系统并不存在真实有效的应用服务，任何试图连接蜜罐系统的行为都可以简单地判定为攻击行为，从而将入侵者IP地址加入防火墙规则或利用TCP Wrappers访问控制及时进行阻拦，实现主动防御.
  补：TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例，每当有ssh的连接请求时，tcpd即会截获请求。
  
  6、其他蜜罐文章
  Cowrie：https://blog.csdn.net/youjianzhou/article/details/55505243
  i春秋：https://www.sohu.com/a/318527943_100285681
  Glastopf蜜罐：开源的低交互的蜜罐，它模拟了一个易受攻击的web服务器
  T-pot蜜罐：https://blog.csdn.net/yyws2039725/article/details/91353690
  debian环境安装： https://linux.cn/article-11083-1.html