物聯網蜜罐

1、蜜罐

1.1 定義

蜜罐是一類沒有實際業務用途的網路安全資源,本質是一種對攻擊方進行欺騙的技術，
蜜罐是一種安全資源，沒有任何業務上的用途，價值就是吸引對方對他進行非法利用，

1.2 作用

對攻擊方進行欺騙，通過部署一些作為誘餌的主機、網路服務或者資訊，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的方法和工具，推測攻擊意圖和動機，以便于防御方清晰了解自身所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力，

2、物聯網蜜罐

物聯網終端設備存在的安全威脅：

• 缺乏身份認證: 物聯網設備直接跳過了用戶的身份驗證環節，無法識別用戶是否具有訪問權限，不能有效控制用戶的訪問
• 使用默認配置: 大部分物聯網設備在出廠時都會設定默認的用戶名和密碼，并且部分設備本身無法改變默認的用戶名和密碼
• 韌體不更新: 韌體中存在問題甚至是漏洞
• 網路安全性薄弱: 由于網路本身防火墻等存在缺陷，或者未及時更新防火墻的配置，導致攻擊者利用網路缺陷可悄無聲息地滲透到物聯網系統中，對物聯網設備發動攻擊

物聯網蜜罐概念

指以物聯網計算、網路、感知及執行等資源為誘餌, 部署于真實物聯網設備周邊，具有物聯網安全威脅發現、捕獲、分析和告警功能，保護真實物聯網設備的網路欺騙技術，

主要思想

通過對物聯網終端系統進行高相似度的仿真，誘騙攻擊者對虛擬終端實施攻擊意圖，捕獲到更多有價值的攻擊樣本，加強系統安全防護，

2.1 構成

• 物聯網誘餌環境
• 監控模塊

誘餌環境

• 誘餌介面：攻擊者侵入蜜罐系統的必要通信入口，包括:HTTP,SSH,Telnet,USB等常見的物聯網通信介面
• 執行環境：物聯網正常服務或惡意代碼執行的系統依賴環境，即盡可能真實且可互動的系統環境，包括
  • 檔案系統環境
  • 程式執行環境
  • 底層硬體環境甚至網路環境，
  • 例如：模擬出系統的檔案系統資訊、行程資訊、網路狀態等
• 物理業務模型：包括物聯網設備的物理資訊感知、執行器的物理操作和狀態變化，

監控模塊

• 資料捕獲：記錄物聯網蜜罐中的所有攻擊活動
• 安全控制：限制攻擊者的操作范圍，保證蜜罐系統自身的安全性

2.2 實作原理

物聯網終端蜜罐在部署之前對應蜜罐所模擬的主要功能，撰寫組態檔，完成系統各模塊的配置，模擬物聯網終端設備控制程式，仿真終端設備系統的環境，充分起到迷惑欺騙攻擊者的效果，攻擊者誤以為已經進入真實的物聯網終端系統.

一開始，蜜罐系統有目的性地開放特定的埠并運行特定的服務，引誘攻擊者與蜜罐建立埠連接，遠程弱口令登陸蜜罐，攻擊者成功登陸后就自動進入蜜罐模擬的物聯網終端系統中，通常在攻擊者進入系統后向攻擊者顯示當前模擬的終端設備資訊和協議資訊，或者是向攻擊者展示當前模擬的終端系統場景，

eg：攻擊進入以后，不斷播放展示攝像頭直播畫面，目的是欺騙攻擊者對當前模擬的物聯網終端系統深信不疑，誘騙攻擊者遠程登陸蜜罐后，然后才會進入具體的攻擊程序，實施攻擊操作，

物聯網終端蜜罐系統可對攻擊者的行為和資訊進行記錄，記錄攻擊者的 IP 地址、MAC地址、開放的埠、運行的服務等基本資訊，以及攻擊者對蜜罐執行的所有的操作命令都能夠被完整地記錄，完整的攻擊樣本資料為安全人員后續的分析利用提供了寶貴的資源資訊，

2.3 應用價值

被動防御轉為主動型防御,面對破壞力極強的大規模入侵，不僅僅是只能進行彌補系統漏洞加固系統防御，除了完善自身系統以外，甚至已經能夠實作反向滲透、反向控制攻擊者主機，應對入侵出擊這方面取得較大的突破，很大程度上提高了終端系統的入侵防護能力，

• 有利于蜜罐系統捕獲到更多更全面的針對物聯網終端的攻擊樣本資料
• 根據樣本資料分析攻擊者的攻擊方法和手段
• 通過分析，了解當前物聯網系統的缺陷所在，結合已有的防護措施作出改進，加強真實的物聯網終端系統的防御能力
• 引誘攻擊者攻擊以后，蜜罐可對攻擊者執行反向的操作
  • 反向掃描攻擊者主機開放的埠和服務，嘗試登錄攻擊者主機
  • 對攻擊者主機進行反向滲透，實作對攻擊者主機的強有力的控制

2.3 分類

應用型別

• 工控蜜罐：模擬聯網的工業控制設備

• 消費級物聯網蜜罐：以網路攝像頭、列印機等網路物體設備為參考物件, 分析這些設備所遭受的攻擊來源和行為特征

• 資訊物理系統蜜罐
  是一個綜合計算、網路和物理環境的多維復雜系統，是集成計算、通信與控制于一體的下一代智能系統，通過人機互動介面實作和物理行程的互動，使用網路化空間以遠程的、可靠的、實時的、安全的、協作的方式操控一個物理物體，

互動型別分類

• 低互動型別
  • 僅實作物聯網誘餌介面模擬的蜜罐
  • 捕獲攻擊 IP、埠、協議、請求載荷等威脅資訊
• 中互動型別
  • 能夠實作設備系統執行環境模擬的蜜罐
• 高互動型別
  • 高互動蜜罐能夠實作物聯網資訊空間與物理空間執行及操作環境模擬，提供給攻擊者一個真實的作業系統，攻擊者可以與其進行充分的互動

誘餌型別分類

• 實物蜜罐：原裝的軟硬體設備作為物聯網誘餌的蜜罐，擁有真實的硬體、作業系統和應用服務, 具備對未知攻擊較強的回應能力,往往對攻擊者有極大的引誘性

• 虛擬蜜罐：通過預先設定的誘捕需求, 用軟體模擬相關作業系統和業務, 誘導攻擊者入侵隔離的虛擬誘餌環境

• 半實物蜜罐：同時采用實物與軟體仿真的蜜罐.

2.4 形態

基本形態就是如下：

在此基礎上，提出了蜜網（Honeynet）、蜜場（Honeyfarm）、蜜標（Honeytoken）的概念

蜜網

在同一網路中配置多個誘餌節點的蜜罐系統形態，

蜜場

蜜場形態如下所示，通過代理的方式擴展誘餌節點部署范圍的形態，

• 真實設備和監控模塊集中在一個固定的節點或網路中, 便于實作對實物設備的管理維護和資料集中分析
• 輕量級的代理部署在任意網路節點中, 將網路攻擊重定向至誘餌環,從而擴展誘餌節點部署范圍

2.5 發展

物聯網蜜罐按時間順序依次從工控蜜罐、消費級物聯網蜜罐以及資訊物理系統蜜罐三條主線開展研究，

3、與蜜罐的異同

相同

• 組成一樣：都是由誘餌環境和監控環境組成，
• 單一資料點：只能發現針對自己的行為，如果攻擊者沒有攻擊蜜罐，而是闖入真實的設備或系統中，這時候發現不了問題，
• 指紋：指紋的存在會讓攻擊者容易發現蜜罐的存在，此時發送大量錯誤資料將會導致錯誤分析得出錯誤結果
• 風險高：吸引攻擊者攻擊，也會將風險帶到網路中，如果一單受控，可能會被利用，從而對系統造成更大的威脅

異同

• 物聯網蜜罐具有很大的物理融合性，
  物聯網蜜罐參考的業務通常與物理空間感知和操作相關, 如機械操作、影像傳輸、溫度傳感等，物聯網誘餌環境在構造程序中需兼顧物理空間和資訊空間的融合仿真, 以實作深度的互動能力，
• 誘餌多樣性，物聯網蜜罐硬體平臺多源異構，異源異構，不同廠商或型號的作業系統和多源異構的硬體模塊,例如基于不同的CPU架構，不同的作業系統，多樣化的硬體資源，同時, 多樣化誘餌環境也對資料捕獲和安全控制的能力提出了更高的要求

4、物聯網蜜罐的關鍵技術

4.1 重定向技術

通過連接不同地理空間或不同類別的誘餌環境, 進行統一的攻擊誘導、流量分配和資料采集，
根據攻擊特征對攻擊流進行切換，通過重定向功能將惡意流量重定向到回應的蜜罐中，例如：埠重定向，

重定向技術大致分為四個部分：

• 在入侵階段，蜜場需要對網路流量進行決議和分類，為轉發決策提供依據，
• 在轉發決策階段，構建決策模型將不同流量進行區分（正常或非正常）
• 在流量調度模塊，通過TCP重放或代理的方式將攻擊誘導向不同的目標
• 在請求回應階段，整合不同誘餌的回應進行篩選分析，選擇最佳回應回傳給攻擊者
  

4.2 蜜罐識別與反識別技術

一旦攻擊者識別出蜜罐，則蜜罐將失去意義，

反蜜罐

蜜罐識別就是反蜜罐，本質就是分析蜜罐和真實設備之間的差異，通過檢測蜜罐各類指紋特征對蜜罐進行區分，下面將對相關的蜜罐識別特征進行簡單闡述，

1、時間差異

由于蜜罐監控模塊的額外開銷，所以攻擊者命令的執行時間會明顯延長，所以網路層的延遲可以作為蜜罐指紋，
07年美國新墨西哥理工大學用實驗證明：虛擬蜜罐對ICMP回應請求的回應確實比實際系統慢，

2、軟硬體差異

大部分蜜罐都采用了硬體虛擬化的方式進行資源模擬，與實際的業務系統的執行環境存在明顯差異，

軟體實作上，2007年卡內基·梅隆大學Brumley等表示通過從二進制檔案中自動構建符號公式，可以在HTTP和NTP的協議實作中找到蜜罐系統與真實系統的差異

2014年SANS技術研究所的報告指出攻擊者可使用“file /sbin /init”命令的動態回傳值識別Kippo蜜罐(一款強大的SSH蜜罐工具)
https://www.sohu.com/a/322443743_354899
大部分蜜罐對物理域采集與執行設備的實作不完善, 其感知資料違背物理規律, 如溫度傳遞、水位感知等實作程序容易被攻擊者識別

3、網路差異

通過網路回應來識別漏洞和提取網路服務特征的基本研究方法，常用的工具包括Nmap和Zmap，
Zmap：一種快速單包網路掃描器
Nmap：是一款開放源代碼的網路探測和安全審核的工具

4.3 資料分析技術

物聯網蜜罐兩種分析方式

• 統計分析：針對原始資料進行統計和查詢，包括攻擊源、目標活動和二進制檔案的分析
• 深度分析：對攻擊者的隱藏特征進行挖掘和推理

5、HFish框架

自己部署-蜜罐

鏈接：https://192.168.30.44:4433/web/threatList
用戶名：admin
密碼：Hfish2021

開發方案

使用HFish作為物聯網蜜罐框架.
HFish是一款基于Golang 開發的跨平臺輕量級多功能主動誘導型蜜罐平臺，

• 作為物聯網中的情報收集者，HFish能夠時刻捕捉網路中的攻擊行為，竊聽入侵者之間的聯系，收集入侵者所用的種種工具，甚至掌握他們的社交網路，
• HFish提供API介面，將捕獲到的入侵資訊與各種不同平臺進行情報共享，包括入侵時間、入侵型別、入侵者IP等資訊，
• 通過撰寫程式，以輪詢的方式實時向多個HFish蜜罐查詢是否存在入侵行為，
• 由于蜜罐系統并不存在真實有效的應用服務，任何試圖連接蜜罐系統的行為都可以簡單地判定為攻擊行為，從而將入侵者IP地址加入防火墻規則或利用TCP Wrappers訪問控制及時進行阻攔，實作主動防御.
  補：TCP_Wrappers有一個TCP的守護行程叫作tcpd，以ssh為例，每當有ssh的連接請求時，tcpd即會截獲請求，
  
  6、其他蜜罐文章
  Cowrie：https://blog.csdn.net/youjianzhou/article/details/55505243
  i春秋：https://www.sohu.com/a/318527943_100285681
  Glastopf蜜罐：開源的低互動的蜜罐，它模擬了一個易受攻擊的web服務器
  T-pot蜜罐：https://blog.csdn.net/yyws2039725/article/details/91353690
  debian環境安裝： https://linux.cn/article-11083-1.html