基于蜜网的物联网僵尸网络监控与溯源研究 -...
Transcript of 基于蜜网的物联网僵尸网络监控与溯源研究 -...
![Page 1: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/1.jpg)
基于蜜网的物联网僵尸网络监控与溯源研究
安天分析技术研究部
![Page 2: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/2.jpg)
2
物联网安全事件
![Page 3: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/3.jpg)
物联网安全事件
• 2017-12月
• Brickerbot蠕虫感染
• 2017-9月
•黑客入侵孟加拉银行盗走支付。
• 2017-8月
•黑客盗取了NSA大量黑客工具和漏洞利用包可突破思科、Juniper、飞塔等一流安全厂商的防火墙
• 2016-11月
•德国电信遭受网络攻击,90万+路由器无法联网
• 2016-10月
•新加坡StarHub电信公司遭受黑客攻击,造成部分用户网络中断
•域名服务商Dyn遭遇攻击,大半个美国互联网陷入瘫痪
• 2016-9月
•里约奥运会的DDoS攻击最高达540Gbps
3
![Page 4: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/4.jpg)
安全泛化
4
![Page 5: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/5.jpg)
当前感染系统设备
• CPU
• ARM、MIPS、MIPSEL、SPARC、SH4
• OS
• Linux嵌入设备、安卓
5
![Page 6: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/6.jpg)
IoT设备安全问题
• 弱密码
• 12345、123456
• RCE漏洞
• Linux系统漏洞
• SOAP漏洞7547端口
• Web漏洞
• Busybox利用
• 权限非最小化
6
![Page 7: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/7.jpg)
IoT类型漏洞设备
7
![Page 8: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/8.jpg)
IoT云面临威胁
• 目的
• DDoS、拖库、挖矿、勒索、代理
• 攻击手段
• WEB漏洞
• 系统漏洞
• 弱密码爆破
• 僵尸网络
8
![Page 9: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/9.jpg)
物联网恶意代码
9
![Page 10: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/10.jpg)
2013 20172016201520142012
aidra pnscan mirai
Gafgytelknot
Darlloz
Remaiten
tsunami
ProxyM
hajime
mooseIoTroop
物联网恶意家族出现时间
![Page 11: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/11.jpg)
•2014年10月•模块
•SCANNER
•Downloader
•DDoS
•入侵方式• 弱口令 23端口
•感染设备• 内存存在
Gafgyt-代码泄漏变种很多
![Page 12: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/12.jpg)
Moose-中间人攻击获取登录cookie
![Page 13: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/13.jpg)
•入侵方式
•弱口令 23端口、新变种7547 soap漏洞、GoAhead
•感染设备
•DahuaRtsp、ZyXEL、HuaweiHomeGateway、Dlink、ZNID24xx-Router
•变种事件
•2017-02 德国电信断网mirai家族变种7547端口上路由器设备的TR-069/TR-064 2017-10
•Mirai变种Rowdy物联网恶意软件袭击我国有线电视网
•2017-10 IoTroop利用多个路由器漏洞变种
•2017-11 利用僵尸网络Dofloo交叉传播Mirai.Nov
•2017-12 Mirai变种 Satori使用两个漏洞利用(exploit)
Mirai-开源引爆物联网潘多拉
![Page 14: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/14.jpg)
垃圾邮件传播-Linux.ProxyM
• 2017年2月出现
• x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000和
SPARC架构
• 国外的垃圾邮件主题
14
![Page 15: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/15.jpg)
蜜网感知平台
15
![Page 16: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/16.jpg)
识别分析 特征回馈 态势感知采集监控 应用
物联网监测平台
物联网威胁监测平台-捕风蜜网
![Page 17: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/17.jpg)
大数据安全聚合
态势感知、预警
监控平台
高交互蜜罐
低交互蜜罐
威胁识别分析系统
爬虫系统
互联网
物联网探测
威胁情报
事件上报IP扫描攻击
1.A 文件分析1.B
ELF、端口、URL爬取1.C
投放3
回馈IP/样本特征4
C&C、URL6
聚合、关联、溯源5
外部网络
IoT端口2.A IoT标识2.B
攻击监控
DDoS、勒索、spam
监测架构-人机结合
![Page 18: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/18.jpg)
• 高交互
• 低交互
• 全端口监听
• 代理转发
采集
• 黑白
• 家族、武器
• 目的
识别知识
• 内容规则
• IOC规则
• C&C
情报特征
• 漏洞感知
• 攻击预警
• 威胁情报
• 追踪溯源
应用
自动化回馈
监测流程
![Page 19: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/19.jpg)
采集蜜罐 识别分析 特征回馈 态势感知 威胁情报
分布全球的蜜罐采集监控
采集物联网蠕虫攻击捕风蜜罐系统
物联网蠕虫扫描监听能力
• 扫描IP物联网设备识别
• 攻击方法识别采用漏洞弱密码
• 攻击载荷URL和嵌入式样本
蜜罐能力维护
• 物联网设备漏洞服务响应
• 物联网相关端口模拟
• Banner信息多样
"http://46.166.148.149/lel.sh",
"http://93.158.200.94/bins.sh",
"http://191.96.249.48/bins.sh",
。。。
采集蜜罐-高低交互结合
![Page 20: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/20.jpg)
•暴力破解•23、2323
•特殊端口访问•53413、 7547、37215
•攻击数据•嵌入Linux指令
•URL投放
采集蜜罐-攻击流量
端口 月均独立扫描IP (单位:
万)
23 75
2323 73
445 10
22 6.7
80 2.3
1433 2
3389 2
81 2
3306 0.3
![Page 21: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/21.jpg)
采集蜜罐-捕获样本URL
![Page 22: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/22.jpg)
采集探测 识别分析 特征回馈 态势感知 威胁情报
• 蜜罐受扫描进行反向
探测
• 针对扫描IP物联网设
备识别23、2323
• 放马探测
采集蜜罐-反向探测
![Page 23: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/23.jpg)
0
0.2
0.4
0.6
0.8
1
1.2
0 1000 2000 3000 4000 5000 6000 7000 8000 9000100001100012000
CD
F
C2存活小时
国内C2存活时间
C&C-快速探测国内C2存活时间更久
0
0.2
0.4
0.6
0.8
1
1.2
0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 11000C
DF
C2存活小时
国外C2存活时间
![Page 24: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/24.jpg)
采集 识别分析 特征回馈 态势感知 威胁情报
家族名称 变种数量 样本HASH数量
Trojan[DDoS]/Linux.Mirai 2 大于1000
Trojan[DDoS]/Linux.Xarcen 5 大于1000
Trojan[DDoS]/Linux.Znaich 3 大于500
Trojan[Backdoor]/Linux.Mayday 11 大于1000
Trojan[DDoS]/Linux.DnsAmp 5 大于500
Trojan[Backdoor]/Linux.Ganiw 5 大于3000
Trojan[Backdoor]/Linux.Dofloo 5 大于2000
Trojan[Backdoor]/Linux.Gafgyt 28 大于8000
Trojan[Backdoor]/Linux.Tsunami 71 大于1000
Worm/Linux.Moose 1 大于10
Worm[Net]/Linux.Darlloz 3 大于10
识别-静态识别IoT家族
![Page 25: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/25.jpg)
采集 识别分析 特征回馈 态势感知 威胁情报
多来源
爬虫
安天探海
手工提交
蜜罐
第三方设备
静态分析
动态分析
C&C提取
关联分析
沙箱分析系统
场景模拟
监控
分析报告
监控特征
支持ARM、MIPS、MIPSEL、PPC、SPARC、X86、Linux嵌入式物联网程序分析
识别-追影动态IoT沙箱
![Page 26: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/26.jpg)
采集 识别分析 特征回馈 态势感知 威胁情报
客户价值
• 全自动循环检测能力,实现物联
网安全系统自成长。
• 帮助联通提高在物联网安全系统
创新能力,可以联合发布行业安
全报告。
• 卧底监控和网络监控多种监控方
式结合。
特征回馈-增强监测
![Page 27: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/27.jpg)
高速检测 准确分析 特征回馈 态势感知 威胁情报
数据聚合分析
业务价值
情报与数据支撑
基础能力
态势感知、安全监测、追踪溯源、通报预警
IP地址库、设备库、事件库、样本
库、恶意代码库、安全威胁库…….
流量监控、主动探测、蜜罐捕获、分析
鉴定
11,304,824
28,448,674
13,616,771
9,687,359
0
5,000,000
10,000,000
15,000,000
20,000,000
25,000,000
30,000,000
1月份 2月份 3月份 4月份 5月份 6月份 7月份 8月份 9月份 10月份 11月份 12月份
2017年全球发起DDoS攻击态势
0
10000
20000
30000
40000
50000
60000
2017年1月 2017年2月 2017年3月 2017年4月 2017年5月 2017年6月 2017年7月 2017年8月 2017年9月 2017年10月 2017年11月 2017年12月
DDoS攻击总流量统计
国际发起TB 互联互通TB 电信发起TB
态势监测
![Page 28: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/28.jpg)
高速检测 准确分析 特征回馈 态势感知 威胁情报
01物联网僵尸网络威胁情报
02
03
物联网僵尸网络攻击情报
应用
• 物联网安全监控的最新漏洞
• 物联网最新恶意样本
• 物联网最新控制服务器
• 恶意邮件、勒索软件
• DDoS攻击情报
• 挖矿
• DDoS溯源打击网络犯罪、邮件安全检测预警
• 云安全防火墙、IDS监控、云主机处置
物联网威胁情报信息
![Page 29: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/29.jpg)
SSH
蜜罐
Linux爆破
工具
发动Linux爆破攻击
并上传可疑样本文件
421cb9ee70cc4e365dfd334da96ace87
样本
库上传
样本
分析
系统
提交分析
任务
Xorddos
C&C2013ddos.f3322.org61.144.79.245:2827
(活跃)
识别
提取及判定
养殖
系统提交养殖任务
与C&C通
信数据输出
样本运行状态
输出
僵尸网络活动情况及
DDoS攻击目标
解析攻击指令与攻击包
攻击方式 SYN FLOOD
183.2.242.225110.80.135.16124.226.66.60125.77.28.24
115.230.127.32183.131.222.22
115.230.125.194
攻击目标
某段时间数据
数据
中转发送
响应
监测数据流例子
![Page 30: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/30.jpg)
实战案例
30
![Page 31: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/31.jpg)
云安全-应用
![Page 32: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/32.jpg)
• ZXR10 ZSR Serial Router of ZTE
Corporation
• Huawei TERMINAL Multi-service
Distribution Module
• IAD2000 Integrated Access Device
• XL_MINER_0394
• RG/Device 10.x
• Tango3
• BCM96328 xDSL Router
• gSOAP/2.7
• ZXHN E5700
• rtsp server
• dvrdvs
• DNVRS-Webs
• Hikvision-Webs
• DHDVR 1.1
• Dahua Rtsp Server
• global-eye
• RomPager/4.07
• Linux/2.6.18_pro500-davinci_evm-
arm_v5t_le, ZheJiang Dahua Technology
CO.
• Ambarella RTSP
一个3万肉鸡的IoT设备列表
![Page 33: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/33.jpg)
•样本分析识别•家族:Trojian/Linux.Doflo
•网络威胁情报提取•103.213.249.216
•攻击数据监控•C&C 149.202.*.*:6002
•攻击www.moe.edu.cn
•124.127.55.183
•114.247.107.71
•202.205.188.117
一起DDoS攻击溯源
![Page 34: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/34.jpg)
222.186.129.87
网络事件信息丰富补充
![Page 35: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/35.jpg)
态势感知效果
![Page 36: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/36.jpg)
进一步工作多元融合
• 更多采集探头
• 流量、SDK、开源情报
• 情报合作:
• 威胁情报
• 学术合作:
• 开放Pcap、样本资源
• 应用合作
• 抗DDoS生态链
36
![Page 37: 基于蜜网的物联网僵尸网络监控与溯源研究 - Antiy基于蜜网的物联网僵尸网络监控与溯源研究 安天分析技术研究部 IoT设备安全问题 •弱密码](https://reader033.fdocuments.net/reader033/viewer/2022042501/5f565b131e000d7d523ed468/html5/thumbnails/37.jpg)
关注安天冬训营官网 关注安天微信公众号
Thank You