信息化觀察網(wǎng)

兩名研究人員最近開發(fā)了一個(gè)虛擬蜜罐框架——Honware（論文地址在文末），可以幫助安全研究人員和物聯(lián)網(wǎng)制造商比以往任何時(shí)候更快地檢測(cè)針對(duì)互聯(lián)網(wǎng)連接設(shè)備的零日漏洞。

Honware可以用設(shè)備的固件映像來模擬基于Linux的客戶終端設(shè)備（CPE）和IoT設(shè)備。

據(jù)Honware的開發(fā)者，劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的Alexander Vetterl和Richard Clayton介紹：

Honware能自動(dòng)處理標(biāo)準(zhǔn)固件映像（通常為更新提供），定制文件系統(tǒng)并使用特殊的預(yù)構(gòu)建Linux內(nèi)核運(yùn)行系統(tǒng)。然后，它會(huì)記錄攻擊者的流量并記錄哪些行為導(dǎo)致了攻擊。

解決了一個(gè)長(zhǎng)期難題

目前有幾種IoT蜜罐系統(tǒng)可供研究人員使用，但它們都有一個(gè)或多個(gè)關(guān)鍵局限：基于物理設(shè)備（意味著研究人員需要購買它們）；無法監(jiān)視大量攻擊者；通常無法檢測(cè)和捕獲新的攻擊模式。

Honware的優(yōu)點(diǎn)

不需要物理設(shè)備即可工作。

可以輕松地模擬成千上萬具有不同固件版本的不同設(shè)備。

允許攻擊者完全控制機(jī)器（即，它具有很高的交互性），這意味著操作員可以看到并了解漏洞利用的全部工作方式。

更耐指紋攻擊。它可防止基于協(xié)議偏差的指紋攻擊或用于識(shí)別蜜罐特定配置的指紋攻擊，并且不易受基于定時(shí)攻擊的瑣碎指紋攻擊。

Vetterl和Clayton通過在Internet上快速部署多個(gè)蜜罐（包括四個(gè)品牌的ADSL調(diào)制解調(diào)器，TP-Link、D-Link、Eminent和ipTIME）測(cè)試了Honware，并檢測(cè)到已知和以前未知的攻擊：

特別是，在ipTIME仿真路由器上，我們觀察到未知的攻擊，其中路由器中的默認(rèn)DNS設(shè)置被更改為惡意IP地址。我們隨后發(fā)現(xiàn)它不僅影響ipTIME，而且影響其他品牌。

下一步計(jì)劃

Vetterl指出：當(dāng)前的問題是，攻擊者利用了越來越多的易受攻擊的設(shè)備，基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)正在快速增長(zhǎng)。但是，我們通常不知道這些設(shè)備的實(shí)際利用方式。

目前，我們?yōu)楦鞣N協(xié)議運(yùn)行通用蜜罐，但是它們通常不能返回適當(dāng)?shù)挠行лd荷來學(xué)習(xí)攻擊的后續(xù)部分。這不僅對(duì)我們來說是一個(gè)問題，Netlab360在2018年跟蹤UPnPHunter時(shí)也遭遇了類似的問題，他們'不得不多次調(diào)整和定制我們的蜜罐'。

并且，由于人們現(xiàn)在有了快速的無狀態(tài)掃描工具（Shodan、Censys.io、Thingful等），因此易受攻擊的設(shè)備很快就被僵尸網(wǎng)絡(luò)捕獲。對(duì)于攻擊者來說，唯一的實(shí)質(zhì)性成本是檢測(cè)漏洞本身，但是現(xiàn)在找到易受攻擊的設(shè)備非常方便快捷。

目前，Honware僅限于用于ARM和MIPS架構(gòu)的基于Linux的設(shè)備，據(jù)Vetterl稱，他們暫時(shí)沒有任何計(jì)劃添加其他架構(gòu)。不過，隨著其他體系結(jié)構(gòu)變得越來越流行，重新編譯Linux內(nèi)核應(yīng)該不會(huì)很困難。

我們絕對(duì)需要研究進(jìn)一步的指紋識(shí)別問題，即如果我們大規(guī)模部署蜜罐，攻擊者將如何檢測(cè)到它們。

Vetterl還表示暫時(shí)不會(huì)將Honware開源，因?yàn)檫@將使攻擊者更容易發(fā)現(xiàn)并繞過正在使用Honware技術(shù)的蜜罐。

最后，對(duì)于那些最終使用Honware的用戶來說，必須密切監(jiān)視傳出的流量和連接。因?yàn)?Honware能夠完全模擬設(shè)備，這意味著固件版本中存在的任何漏洞也將出現(xiàn)在模擬中。在沒有密切監(jiān)視的情況下，蜜罐本身可以被用作代理、服務(wù)惡意軟件、挖掘加密貨幣或“攻擊”其他系統(tǒng)。