IoT Botnet

IoT Botnet

Background

伴随着工业革命4.0,特别是物联网的发展,数字化转型正在全球范围内发生,并对交通、医疗保健、能源管理、自动化车辆等生活的各个领域带来了积极的影响。

物联网等通信技术显著超越了对周围环境的传统感知,它赋予设备收集、量化和了解周围环境的能力。

物联网是计算机史上发展最快的领域之一,Cisco进行的一项调查[1]显示,物联网设备的数量每年都在上升,2020年可能会超过500亿台,互联网上连接的设备之间将交换44ZB的数据(1ZB等于1,000,000,000,000GB)。

一方面,物联网技术在赋能现实生活中的智能应用方面发挥着至关重要的作用,如智能家居、智能医疗等。但在另一方面,物联网的一些特性也带来了许多安全挑战。Botnet(僵尸网络)就是IoT网络面临的最大威胁。

Definitions

IoT:物联网

Botnet:“攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。”——百度百科

DDos:分布式拒绝服务攻击,攻击者控制Botnet向目标发动攻击,这种攻击可能是正常的服务请求,目的是耗尽目标的资源导致“拒绝向合法用户提供服务”。例如:大量地向某网站发送请求,导致真正想用此网站的用户无法得到服务。

Features of IoT devices

为什么IoTBotnet非常有利,原因有以下几点:

  • IoT设备7*24运行,而不像PC会频繁开关机。
  • 许多IoT供应商为了提高产品的的易用性和用户体验的友好性,以及快速占领市场,往往忽视安全性。
  • 除非设备不正常工作,人们在安装好它之后就不再维护或忘记维护了。
  • IoT设备足以产生非常大的攻击流量,并不弱于桌面系统。

上述特性使得物联网吸引了很多恶意攻击者。

一个著名的例子是Mirai僵尸网络[2],2016年8月它首次被白帽安全机构MalwareMustDie发现,Mirai的许多变体和模仿者已经成为了历史上最强大的DDos攻击的载体。

同年9月,计算机安全顾问Brian Kreb的网站受到620 Gbps流量的冲击——比使大多数网站崩溃所需的流量高出许多量级[3]。

几乎同时,一个使用Mirai的更大的DDoS攻击袭击了法国的网络主机和云服务提供商OVH.3,它的峰值达到了1.1Tbps[4]。

Mirai的创造者公布源代码后,黑客提供了多达40万台设备同时连接的僵尸网络,并进行出租[5]。

Mirai

Mirai是最著名的一个IoT Botnet,本节将对它展开描述。

components

Bot

Bot是用来感染物联网设备的恶意软件,并且具有传播能力,感染后能接收master的指令来发动攻击。

C&C(command and control)

提供一个集中的管理接口给master,用来查看Botnet的状态或发动一次DDos

Loader

散播可执行文件到新的受害者(新的Bot)。

Report Server

维护Botnet中所有的设备信息,新发现的可供感染的设备第一时间上报到report server

Key steps

  1. 已经被感染了的bot会扫描附近的设备,尝试通过某些端口登录到这些潜在的受害者的控制台。因为物联网设备往往都使用默认的password,这个过程变得相当容易。
  2. 当登录成功后,将受害者的信息发送给Report server,包括设备类型、型号、端口号以及password
  3. Master定期会去查看Report server,是否有新发现的潜在受害者。
  4. 如果有潜在受害者,就发动感染指令。
  5. Loader会根据设备的CPU架构、操作系统,选用合适的恶意程序发送给受害者并执行,执行后该受害者就成为了一个Bot
  6. Botnet达到一定的规模后,Master发动攻击指令。
  7. Bot收到指令后就开展对目标主机的DDos攻击。

Future work

最近关于IoT Botnet的论文几乎都是将机器学习/深度学习用于IoT网络的流量检测,以此来发现Botnet

今后如果有时间和兴趣,或许可以在这方面做一些工作。

References

[1] Cisco Internet of Things, 2015 (Accessed: 10-June 2019).

[2] Kolias C, Kambourakis G, Stavrou A, et al. DDoS in the IoT: Mirai and other botnets[J]. Computer, 2017, 50(7): 80-84.

[3] “KrebsOnSecurity Hit with Record DDoS,” blog, KrebsOnSecurity, 16 Sept. 2016; krebsonsecurity.com /2016/09/krebsonsecurity-hit -with-record-ddos.

[4] D. Goodin, “Record-Breaking DDoS Reportedly Delivered by >145K Hacked Cameras,” Ars Technica, 28 Sept. 2016; arstechnica.com/security /2016/09/botnet-of-145k-cameras -reportedly-deliver-internets-biggest -ddos-ever.

[5] C. Cimpanu, “You Can Now Rent a Mirai Botnet of 400,000 Bots,” BleepingComputer.com, 24 Nov. 2016; www.bleepingcomputer.com/news /security/you-can-now-rent-a-mirai -botnet-of-400-000-bots.

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×