Jump to content

Эксперимент с ловушками показал, зачем хакеры взламывают IoT-устройства


security147

Recommended Posts

Эксперимент с ловушками показал, зачем хакеры взламывают IoT-устройства

07:55 / 23 Декабря, 2021 2021-12-23T08:55:44+03:00

Alexander Antipov

Преступники запускают одинаковые команды для поиска открытых портов и отключения межсетевых экранов.

https://www.securitylab.ru/upload/iblock/142/142c501e3a7dec62be6e12111a14f0e0.jpeg

Трехлетний эксперимент с ханипотами, имитирующими IoT-устройства с низким уровнем взаимодействия различных типов, дал исследователям четкое представление о том, почему киберпреступники атакуют определенные устройства.

Приманки предназначалась для имитации достаточно разнообразной экосистемы и сбора данных для определения целей злоумышленников. Три компонента экосистемы приманок, созданной исследователями из Национального Института стандартов и технологий США (The National Institute of Standards and Technology, NIST) и Университета Флориды, включали серверные фермы, систему проверки и инфраструктуру сбора и анализа данных.

Исследователи установили эмуляторы приманок IoT-устройств Cowrie, Dionaea, KFSensor и HoneyCamera и настроили свои экземпляры так, чтобы они отображались как реальные устройства в поисковых системах Censys и Shodan.

В эксперименте использовались три основных типа приманок:

  • HoneyShell — эмуляция набора UNIX-утилит командной строки Busybox.

  • HoneyWindowsBox — эмуляция IoT-устройств под управлением Windows.

  • HoneyCamera — эмуляция различных IP-камер Hikvision, D-Link и других устройств.

Приманки были настроены для ответа на трафик злоумышленников и методы атаки. Специалисты использовали собранные данные для изменения конфигурации и защиты IoT, а затем собрали новые данные, отражающие реакцию атакующих на эти изменения.

В ходе эксперимента были получены данные 22,6 млн запросов, подавляющее большинство из которых было нацелено на приманку HoneyShell. Атакующие демонстрировали во многом похожие методы атак. Например, большинство хакеров запускают такие команды, как «masscan» для поиска открытых портов и «/etc/init.d/iptables stop» для отключения межсетевых экранов.

Многие злоумышленники запускают команды «free -m», «lspci grep VGA» и «cat/proc/cpuinfo», нацеленные на сбор информации об оборудовании жертвы.

Почти миллион запросов проверял комбинацию логина и пароля «admin/1234», указывая на чрезмерное использование данной комбинации учетных данных в IoT-устройствах.

Приманки HoneyShell и HoneyCamera были атакованы в основном для дальнейшего проведения DDoS-атак и часто также были заражены вариантом Mirai или криптомайнером. Заражение майнером чаще всего происходило на приманках под управлением Windows.

В случае с HoneyCamera исследователи намеренно создали уязвимость раскрытия учетных данных и заметили, что 29 атакующих эксплуатировали уязвимость вручную.

По словам экспертов, только в 13% случаев (314 112 уникальных сеансов) происходило хотя бы одно успешное выполнение команды внутри приманок. Таким образом, лишь некоторые преступники выполнили свой следующий шаг, а остальные (87%) пытались только найти правильную комбинацию логина и пароля».


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...