Honware:可以檢測(cè)零日漏洞的物聯(lián)網(wǎng)蜜罐_第1頁(yè)
Honware:可以檢測(cè)零日漏洞的物聯(lián)網(wǎng)蜜罐_第2頁(yè)
Honware:可以檢測(cè)零日漏洞的物聯(lián)網(wǎng)蜜罐_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

-3-Honware:可以檢測(cè)零日漏洞的物聯(lián)網(wǎng)蜜罐兩名討論人員最近開(kāi)發(fā)了一個(gè)虛擬蜜罐框架——Honware(論文地址在文末),可以關(guān)心平安討論人員和物聯(lián)網(wǎng)制造商比以往任何時(shí)候更快地檢測(cè)針對(duì)互聯(lián)網(wǎng)連接設(shè)備的零日漏洞。兩名討論人員最近開(kāi)發(fā)了一個(gè)虛擬蜜罐框架Honware(論文地址在文末),可以關(guān)心平安討論人員和物聯(lián)網(wǎng)制造商比以往任何時(shí)候更快地檢測(cè)針對(duì)互聯(lián)網(wǎng)連接設(shè)備的零日漏洞。

Honware可以用設(shè)備的固件映像來(lái)模擬基于Linux的客戶(hù)終端設(shè)備(CPE)和IoT設(shè)備。

據(jù)Honware的開(kāi)發(fā)者,劍橋高校計(jì)算機(jī)試驗(yàn)室的AlexanderVetterl和RichardClayton介紹:

Honware能自動(dòng)處理標(biāo)準(zhǔn)固件映像(通常為更新供應(yīng)),定制文件系統(tǒng)并使用特別的預(yù)構(gòu)建Linux內(nèi)核運(yùn)行系統(tǒng)。然后,它會(huì)記錄攻擊者的流量并記錄哪些行為導(dǎo)致了攻擊。

解決了一個(gè)長(zhǎng)期難題

目前有幾種IoT蜜罐系統(tǒng)可供討論人員使用,但它們都有一個(gè)或多個(gè)關(guān)鍵局限:基于物理設(shè)備(意味著討論人員需要購(gòu)買(mǎi)它們);無(wú)法監(jiān)視大量攻擊者;通常無(wú)法檢測(cè)和捕獲新的攻擊模式。

Honware的優(yōu)點(diǎn)

不需要物理設(shè)備即可工作。

可以輕松地模擬成千上萬(wàn)具有不同固件版本的不同設(shè)備。

允許攻擊者完全掌握機(jī)器(即,它具有很高的交互性),這意味著操作員可以看到并了解漏洞利用的全部工作方式。

更耐指紋攻擊。它可防止基于協(xié)議偏差的指紋攻擊或用于識(shí)別蜜罐特定配置的指紋攻擊,并且不易受基于定時(shí)攻擊的瑣碎指紋攻擊。

Vetterl和Clayton通過(guò)在Internet上快速部署多個(gè)蜜罐(包括四個(gè)品牌的ADSL調(diào)制解調(diào)器,TP-Link、D-Link、Eminent和ipTIME)測(cè)試了Honware,并檢測(cè)到已知和以前未知的攻擊:

特殊是,在ipTIME仿真路由器上,我們觀看到未知的攻擊,其中路由器中的默認(rèn)DNS設(shè)置被更改為惡意IP地址。我們隨后發(fā)覺(jué)它不僅影響ipTIME,而且影響其他品牌。

下一步方案

Vetterl指出:當(dāng)前的問(wèn)題是,攻擊者利用了越來(lái)越多的易受攻擊的設(shè)備,基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)正在快速增長(zhǎng)。但是,我們通常不知道這些設(shè)備的實(shí)際利用方式。

目前,我們?yōu)楦鞣N協(xié)議運(yùn)行通用蜜罐,但是它們通常不能返回適當(dāng)?shù)挠行лd荷來(lái)學(xué)習(xí)攻擊的后續(xù)部分。這不僅對(duì)我們來(lái)說(shuō)是一個(gè)問(wèn)題,Netlab360在2022年跟蹤UPnPHunter時(shí)也遭受了類(lèi)似的問(wèn)題,他們不得不多次調(diào)整和定制我們的蜜罐。

并且,由于人們現(xiàn)在有了快速的無(wú)狀態(tài)掃描工具(Shodan、Censys.io、Thingful等),因此易受攻擊的設(shè)備很快就被僵尸網(wǎng)絡(luò)捕獲。對(duì)于攻擊者來(lái)說(shuō),唯一的實(shí)質(zhì)性成本是檢測(cè)漏洞本身,但是現(xiàn)在找到易受攻擊的設(shè)備特別便利快捷。

目前,Honware僅限于用于ARM和MIPS架構(gòu)的基于Linux的設(shè)備,據(jù)Vetterl稱(chēng),他們臨時(shí)沒(méi)有任何方案添加其他架構(gòu)。不過(guò),隨著其他體系結(jié)構(gòu)變得越來(lái)越流行,重新編譯Linux內(nèi)核應(yīng)當(dāng)不會(huì)很困難。

我們肯定需要討論進(jìn)一步的指紋識(shí)別問(wèn)題,即假如我們大規(guī)模部署蜜罐,攻擊者將如何檢測(cè)到它們。

Vetterl還表示臨時(shí)不會(huì)將Honware開(kāi)源,由于這將使攻擊者更簡(jiǎn)單發(fā)覺(jué)并繞過(guò)正在使用Honware技術(shù)的蜜罐。

最終,對(duì)于那些最終使用Honware的用戶(hù)來(lái)說(shuō),必需親密監(jiān)視傳出的流量和連接。由于Honware能夠完全模擬設(shè)備

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論