IoT僵尸網(wǎng)絡(luò)傳播大規(guī)模測量研究

俞意 李建華 沈晨 王強 劉躍

摘? 要： 物聯(lián)網(wǎng)終端數(shù)量急劇增長，而其自身安全防御能力不足。目前由物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)帶來的攻擊，已明顯影響到社會及工業(yè)安全。本文設(shè)計了一套專用于捕獲IoT僵尸網(wǎng)絡(luò)傳播行為的蜜罐系統(tǒng)HoneyCC，并開展為期半年的大規(guī)模測量研究，捕獲四億多攻擊數(shù)據(jù)及5.5萬個BotNet樣本。在此基礎(chǔ)上開展多維度的測量分析，揭露IoT僵尸網(wǎng)絡(luò)現(xiàn)網(wǎng)態(tài)勢和傳播方法，給出治理和防護建議。

關(guān)鍵詞： 物聯(lián)網(wǎng)； 僵尸網(wǎng)絡(luò)； 漏洞利用； 蜜罐

中圖分類號：TP393? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2023）09-37-06

Large-scale measurement study of IoT botnet infection behavior

Yu Yi1， Li Jianhua2， Shen Chen3， Wang Qiang4， Liu Yue5

（1. Zhejiang National Defense Science and Industry Promotion Center， Hangzhou， Zhejiang 310005， China; 2. Zhejiang Safety Technology Prevention Industry Association; 3. Jinhua Polytechnic; 4. Zhejiang National Defense Science and Industry Promotion Center; 5. QiAnXin Group）

Abstract： The number of IoT terminals is growing dramatically， while their own security defense capability is insufficient. The current attacks brought by IoT botnet have significantly affected the social and industrial security. In this paper， we design a honeypot system HoneyCC dedicated to capturing the propagation behavior of IoT botnets， and conduct a six-month large-scale measurement study to capture more than 400 million attack data and 55，000 botnet samples. On this basis， we carry out a multi-dimensional measurement analysis to reveal the current network situation and propagation methods of IoT botnets， and give recommendations for governance and protection.

Key words： IoT; botnet; vulnerability exploitation; honeypot

0 引言

在當前新基建信息化建設(shè)大背景下，5G 通訊、工業(yè)互聯(lián)網(wǎng)等新型互聯(lián)網(wǎng)基礎(chǔ)設(shè)施不斷涌現(xiàn)，催生了智慧城市、智能制造、無人駕駛等全新物聯(lián)網(wǎng)應(yīng)用場景和相關(guān)產(chǎn)業(yè)的飛速發(fā)展。物聯(lián)網(wǎng)（Internet of Things， IoT）已成為現(xiàn)代信息社會的重要基礎(chǔ)設(shè)施。近年在5G通訊技術(shù)加持下，物聯(lián)網(wǎng)終端種類及數(shù)量高速增長，根據(jù)GSMA發(fā)布的《The mobile economy 2022》報告顯示，2021年全球物聯(lián)網(wǎng)總連接數(shù)達151億，預(yù)計到2025年規(guī)模將達233億。然而，從物聯(lián)網(wǎng)漏洞報告趨勢、現(xiàn)網(wǎng)漏洞攻擊態(tài)勢、軟件安全防護機制等多個角度分析發(fā)現(xiàn)，物聯(lián)網(wǎng)當前整體安全形勢不容樂觀?；谛阅芸剂浚琍C端常見的安防技術(shù)在IoT設(shè)備中未得到普及。龐大的終端基數(shù)，同時又普遍欠缺安全性考慮，因此物聯(lián)網(wǎng)設(shè)備近年來也逐漸被惡意攻擊者所關(guān)注，已成僵尸網(wǎng)絡(luò)（BotNet）攻擊的重災(zāi)區(qū)。如何有效測量僵尸網(wǎng)絡(luò)的傳播方法及途徑，對現(xiàn)網(wǎng)攻擊檢測、防御及污染治理具有較大意義。

針對以上問題，本文從攻擊者的視角，對僵尸網(wǎng)絡(luò)傳播行為進行深入分析與測量，定位失陷目標，提出檢測與治理方法，期望能輔助行業(yè)更好地解決當前面臨的實際安全問題。本文主要貢獻如下：

⑴ 設(shè)計了一種基于IoT設(shè)備指紋模擬的低交互式蜜罐，實現(xiàn)1個獨立IP同時模擬數(shù)百個設(shè)備的目的，極大提升了IoT攻擊行為的捕獲效率。

⑵ 設(shè)計了一種基于IoT蜜罐的攻擊行為捕獲平臺，分布式部署于全球范圍內(nèi)共300個節(jié)點，在半年內(nèi)共捕獲429，151，893次攻擊數(shù)據(jù)，基于以上數(shù)據(jù)對僵尸網(wǎng)絡(luò)傳播行為開展大規(guī)模被動測量活動，對后續(xù)相關(guān)研究具有較高價值。

⑶ 多維度分析了僵尸網(wǎng)絡(luò)的傳播方法與途徑，全面透視其傳播態(tài)勢，并給出防御治理建議，對解決實際攻擊失陷行為有較高的實踐意義。

本文結(jié)構(gòu)為：第1節(jié)介紹BotNet傳播模型；第2節(jié)介紹實驗設(shè)計方法思路；第3節(jié)對攻擊數(shù)據(jù)進行大規(guī)模測量分析；第4節(jié)給出具體治理與防御建議；第5節(jié)進行總結(jié)與研究展望。

1 BotNet傳播模型

IoT BotNet由諸如視頻監(jiān)控、路由器、防火墻等眾多聯(lián)網(wǎng)設(shè)備組成，每個設(shè)備包含一個或多個僵尸程序。其所有者使用命令和控制軟件來操控網(wǎng)絡(luò)，執(zhí)行各種需大規(guī)模自動化的（惡意）行動。其中包含：

⑴ 分布式拒絕服務(wù)（DDoS）攻擊，造成目標服務(wù)不可用；

⑵ 用作攻擊鏈路向攻擊者提供VPN訪問權(quán)限；

⑶ 組成匿名通信網(wǎng)絡(luò)，用于逃逸監(jiān)管審查等目的。

我們以Kambourakis[1]等人提到的Mirai通信模型為例。如圖1所示，整個通信框架包括攻擊者、BotNet（僵尸網(wǎng)絡(luò)）、Reporter（報告服務(wù)器）、C&C（控制節(jié)點）、Loader（惡意代碼服務(wù)器）、新的受害者及被攻擊者。攻擊者使用特定方法攻陷暴露在互聯(lián)網(wǎng)且存在漏洞的路由器、攝像頭等IoT設(shè)備，這些被攻陷設(shè)備組成 BotNet。其感染傳播流程為：BotNet對可達網(wǎng)絡(luò)范圍內(nèi)持續(xù)掃描探測，定位可攻擊的目標設(shè)備，同時使用SSH密碼爆破或利用特定設(shè)備漏洞，感染新的受害者（即Bot）。新Bot被攻陷后，通常會從Loader加載惡意代碼樣本并運行，加入到整個BotNet中。同時BotNet向Reporter匯報有新的受控目標，Reporter將新失陷的Bot的信息同步給C&C。如攻擊者需利用 BotNet對特定目標發(fā)起攻擊，通常由C&C下發(fā)攻擊命令，每個Bot接受到命令后，預(yù)定攻擊手段，向目標發(fā)起指定形式的攻擊。

在整個通信控制流程中，我們重點關(guān)注第1步，即通過掃描探測結(jié)合漏洞利用的感染傳播過程。若能對該步驟實時態(tài)勢感知，即可獲取以下信息：

⑴ 已失陷Bot的IP地址，及IP相關(guān)的地理位置、組織機構(gòu)及設(shè)備類型等信息；

⑵ 使用的攻擊手段，如口令和漏洞PoC等；

⑶ BotNet惡意代碼樣本。

2 實驗設(shè)計

基于對IoT僵尸網(wǎng)絡(luò)傳播行為進行大規(guī)模被動測量目標，我們從攻擊者角度設(shè)計了一套蜜罐（Honeypot）系統(tǒng)，專用于捕獲其傳播攻擊行為。

2.1 攻擊特征總結(jié)

經(jīng)典的攻擊流程通常分為以下五個步驟：

⑴ 挖掘設(shè)備漏洞，對漏洞利用程序進行武器化；

⑵ 目標網(wǎng)絡(luò)資產(chǎn)測繪，確定設(shè)備廠商、型號、版本；

⑶ 蜜罐清洗過濾，剔除可能是蜜罐的目標；

⑷ 利用漏洞利用程序，攻陷目標；

⑸ 加載惡意代碼，將新感染者加入到BotNet中。

因蜜罐形態(tài)的多樣性，對抗成本相對較高，因此在IoT BotNet的傳播過程中，往往省略了第三步清洗過程。利用該特點設(shè)計普遍適用于IoT場景的低交互式蜜罐，對BotNet的傳播行為進行捕獲。

2.2 IoT設(shè)備指紋

針對攻擊流程第二步，通常BotNet進行攻擊前需要情報偵察，判斷目標設(shè)備是否屬于可漏洞利用的指定型號。如何將當前蜜罐節(jié)點偽裝成攻擊者想要攻擊的目標是此過程中的難點。我們借鑒了大網(wǎng)資產(chǎn)測繪的方法（Shodan、Censys、Zoomeye、FOFA等） 及ARE[2]等已有工作方法，提取IoT設(shè)備特有的指紋，然后聚合大量不同物聯(lián)網(wǎng)廠商設(shè)備的資產(chǎn)指紋，形成IoT蜜罐。

如表1、圖2所示，通過預(yù)先積累大量資產(chǎn)指紋規(guī)則，再基于通用的Web蜜罐系統(tǒng)，在HTTP的header或body填充類似的指紋信息，可誤導(dǎo)BotNet等自動攻擊程序，將蜜罐節(jié)點錯誤識別成要被攻擊的目的設(shè)備。

2.3 IoT蜜罐設(shè)計

蜜罐是一種被密切監(jiān)控的網(wǎng)絡(luò)誘餌，用于吸引攻擊者，從而為真實系統(tǒng)提供有關(guān)攻擊類型與傾向的數(shù)據(jù)，同時通過分析被攻擊過的蜜罐，深入剖析攻擊者的行為。按可交互程度，蜜罐分低交互、中交互及高交互三類。因測量目標為BotNet而非人為攻擊行為，所以在設(shè)計之初，權(quán)衡捕獲能力、執(zhí)行效率和運營便捷性，采用低交互式蜜罐設(shè)計形態(tài)，蜜罐架構(gòu)設(shè)計如圖3所示。

基于設(shè)備資產(chǎn)指紋基礎(chǔ)設(shè)計實現(xiàn)IoT低交互式蜜罐系統(tǒng)HoneyCC，如圖4所示。結(jié)構(gòu)上采用Docker容器虛擬化技術(shù)，分別部署了SSH、Telnet和HTTP三種類型。其中HTTP蜜罐，復(fù)用1000種不同的設(shè)備指紋，包括華碩、D-Link、?？低?、TP-Link、小米、華為等主流物聯(lián)網(wǎng)廠商，從而達到在一個獨立IP上同時模擬多個設(shè)計的目的。得益于輕量級設(shè)計模式，HoneyCC可較容易分布式大量部署于互聯(lián)網(wǎng)。

2.4 部署與運營

將HoneyCC蜜罐節(jié)點分布式部署于多個地區(qū)，數(shù)據(jù)中心部署于北京。通過不斷更新迭代資產(chǎn)指紋規(guī)則，增強蜜罐捕獲能力，半年內(nèi)共捕獲近4.3億次攻擊。這些攻擊行為主要分兩類：一是針對SSH及Telnet的用戶名及密碼爆破攻擊；二是采用設(shè)備特定漏洞的PoC攻擊。蜜罐協(xié)議端口使用情況如表2所示。

3 傳播測量分析

對捕獲的原始數(shù)據(jù)從源 IP、目的 IP、目的端口、Payload等多個維度展開分析，主要回答以下問題：哪些設(shè)備已被感染，歸屬是誰？哪些設(shè)備正被感染？哪些漏洞被用于攻擊傳播？哪些BotNet家庭最為活躍？

3.1 哪些設(shè)備已經(jīng)被感染

測量時段內(nèi)觀測到有攻擊行為的源IP累計共1417652個。這些IP分布于除南極洲外的所有大洲，有設(shè)備使用的地方就可能成為僵尸網(wǎng)絡(luò)感染區(qū)域。

全球約31.85%被感染或曾被感染IP分布于中國大陸。排名前十的國家或地區(qū)分別為：中國451539個，巴西107748個，美國101091個，印度 82955個，伊朗66965個，俄羅斯51178個，越南39054個，印尼35725個，德國28129個，意大利26877個。我們使用IP地址庫[3]，對運營商進行統(tǒng)計分析。

如表3所示，聯(lián)通、電信等運營商占據(jù)多數(shù)，而Digitalocean、亞馬遜云、阿里云失陷設(shè)備數(shù)量遠小于電信運營商，基本符合Cetin[4]等人的分析結(jié)果。

利用Shodan和Censys的IP測繪數(shù)據(jù)對以上IP開展資產(chǎn)統(tǒng)計分析，結(jié)合設(shè)備資產(chǎn)指紋規(guī)則進行聚類及標簽化處理。受限于被動的獲取方式，部分已失陷IP缺失測繪數(shù)據(jù)，但已知數(shù)據(jù)也可反映一些問題。從表4來看，家用路由器（如MikroTik、華為、中興、TP-Link）、視頻監(jiān)控（海康威視、雄邁、H264DVR、同為）這兩類設(shè)備占失陷目標的絕大部分。

3.2 哪些目標正在被感染

通過對目標端口的統(tǒng)計，可直接觀測到BotNet 感興趣的協(xié)議和端口。在表5中，我們發(fā)現(xiàn)2222端口（SSH 協(xié)議）反而是其最感興趣的目標端口，占總數(shù)的 26%，這表明某些設(shè)備開放了2222端口且使用了默認密碼或弱口令。而22端口才是 SSH 協(xié)議的默認端口，2222端口只是部分設(shè)備的定制化端口。廠商更換默認端口往往是處于安全性考慮，但定制端口2222 反而也存在安全隱患。因此安全縱深防御尤其重要。在后續(xù)小結(jié)，我們對漏洞利用行為進行分析，可定位出部分受災(zāi)嚴重的廠商及其對應(yīng)型號設(shè)備，這里不再展開。

3.3 哪些漏洞被用于攻擊傳播

從僵尸網(wǎng)絡(luò)的傳播方式觀察，主要有兩種方式：一是使用設(shè)備默認口令或弱口令進行爆破；二是針對特定設(shè)備利用漏洞攻擊，獲取目標設(shè)備的shell權(quán)限，加載惡意代碼形成新的Bot。

3.3.1 弱口令攻擊分析

因部分設(shè)備出廠存在默認口令，以及使用人員對安全密碼的重視程度不夠，弱口令問題是當前網(wǎng)絡(luò)環(huán)境主要問題之一。而多數(shù)BotNet往往瞄準該問題進行Telnet及SSH弱口令爆破攻擊，來達到傳播目的。例如Mirai家庭及其變種在BotNet樣本內(nèi)部維護了一個弱口令密碼庫。在測量時段共發(fā)生弱口令爆破攻擊290，746，997次。分別對爆破所使用用戶和密碼進行統(tǒng)計如表6所示。從結(jié)果看，root用戶被使用的概率高居榜首，11.7％的爆破攻擊使用了該用戶。

3.3.2 常見漏洞利用分析

通過對蜜罐捕獲的漏洞利用Payload進行分析，綜合采用相似度匹配和聚類的方式，再經(jīng)過人工審查，對具體的PoC進行分析。

因數(shù)據(jù)量過于龐大，首先分析周期為七天的IoT蜜罐收集的HTTP報文數(shù)據(jù)，經(jīng)統(tǒng)計共有570多萬條，但存在相同PoC多次打入蜜罐造成數(shù)據(jù)重復(fù)的情況，故先進行去重處理，去重后數(shù)據(jù)量為324356條。分析數(shù)據(jù)流所有有效字段發(fā)現(xiàn)僅有path、header、body三個可能含Payload，為有效識別Payload，先對每個字段進行分詞，以正則匹配a-z、A-Z、0-9等可構(gòu)成語義的有效詞語，隨后利用 N-gram 算法對提取結(jié)果進行擴充，再利用 Tf-idf 算法計算每個分詞具體特征值。將三個字段的特征值進行拼接，得到一個完整報文的特征向量表示。之后利用Elbow方法[5]計算可聚類的最優(yōu)簇數(shù)，利用K-means算法完成聚類。

表7最終整理出53種不同漏洞利用的Payload，占總數(shù)15.29％，仍有84.71％未識別出具體對應(yīng)CVE或設(shè)備。但這部分數(shù)據(jù)也可反映一定程度問題。

3.4 哪些BotNet家族最活躍

測量期間累計捕獲BotNet樣本55435個，基于奇安信天穹動態(tài)沙箱將樣本在相應(yīng)虛擬環(huán)境里運行，同時捕獲代碼及其網(wǎng)絡(luò)行為，共有8050個樣本存在網(wǎng)絡(luò)行為。通過該部分樣本通信流量Pcap包和C2協(xié)議進行分揀，具體結(jié)果如表8所示，Mirai、Gafgyt及Mozi等家族表現(xiàn)最為活躍。

3.4.1 Mirai家族

Mirai是一款開源惡意軟件，其感染Linux操作系統(tǒng)設(shè)備并利用被感染設(shè)備進行DDoS攻擊。其感染對象以可訪問網(wǎng)絡(luò)的消費級電子設(shè)備為主，如網(wǎng)絡(luò)監(jiān)控攝像機和家庭路由器等。Mirai僵尸網(wǎng)絡(luò)已參與數(shù)次影響廣泛的大型DDoS攻擊，如對法國網(wǎng)站托管商OVH的攻擊，2016年10月Dyn公司網(wǎng)絡(luò)攻擊事件等。

2016年其源代碼以開源形式發(fā)布至黑客論壇，其技術(shù)也已被其他一些惡意軟件采用；基于其開源代碼的變種不斷出現(xiàn)又瘋狂傳播，影響不可小覷。

最初版的Mirai使用的是一組固定的默認登錄名及密碼組合憑證，對SSH及Telnet等常見服務(wù)進行爆破登錄。僅憑64個眾所周知的默認登錄名及密碼， Mirai就能感染60萬個IoT設(shè)備。

3.4.2 Mozi家族

Mozi依賴DHT協(xié)議建立一個P2P網(wǎng)絡(luò)。主要攻擊指令包括：DDoS攻擊、收集Bot信息、執(zhí)行指定URL的Payload、執(zhí)行系統(tǒng)或自定義命令。其主要通過 Telnet 弱口令和漏洞利用兩種方式感染新設(shè)備，均使用半連接掃描。Telnet 弱口令掃描端口：23，2323， 50023，1023；漏洞利用掃描端口：81，8080，7574，49152，5555，8443，80，37215，52869，8008。默認搭載的Exploits包括：

⑴ Realtek SDK命令注入；

⑵ GPon Router命令注入；

⑶ Huawei Router HG532命令注入；

⑷ UPnP SOAP TelnetD命令注入；

⑸ CCTV/DVR遠程代碼執(zhí)行；

⑹ JAWS Webserver命令注入；

⑺ Netgear setup.cgi未授權(quán)RCE；

⑻ Netgear cig-bin命令注入；

⑼ Vacron NVR遠程代碼執(zhí)行；

⑽ Eir D1000 Wireless Router命令注入；

⑾ HNAP SOAPAction-Header命令注入。

3.4.3 Gafgyt家族

Gafgyt最早于2014年出現(xiàn)，2015年其源碼被公開，后續(xù)引出大量變種（Bashlite、Qbot等）。該家族C&C服務(wù)器大多分布于北美和歐洲，且常集中于同一城區(qū)。其主要傳播端口包括80/HTTP、3074/TCP、30100/UDP、30000/UDP、30200/UDP 等。默認搭截的Exploits包括：

⑴ GPon Router命令注入；

⑵ AirLink101遠程代碼執(zhí)行；

⑶ 多個視頻監(jiān)控廠商遠程代碼執(zhí)行；

⑷ D-Link路由器多個漏洞；

⑸ Huawei Router HG532命令注入；

⑹ JAWS未授權(quán)命令注入；

⑺ AVTECH視頻監(jiān)控未授權(quán)命令注入；

⑻ Vacron視頻監(jiān)控遠程代碼執(zhí)行；

⑼ NNUO產(chǎn)品命令注入。

從漏洞清單來看，部分漏洞與表7中統(tǒng)計相符，如JAWS及AVTECH視頻監(jiān)控等產(chǎn)品漏洞。

3.5 Loader和C&C分析

統(tǒng)計時間段內(nèi)，累計監(jiān)控到僵尸網(wǎng)絡(luò)樣本下發(fā) URL共569067條，涉及Loader（下發(fā)點）及C2 IP 363212個，域名1288個。圖5下發(fā)點及C2 IP遍布五大洲，排名前五國家或地區(qū)分別為：中國9429個，英國7222個，伊朗5305個，俄羅斯4046個，印度2676個。國內(nèi)下發(fā)點及C2 IP集中分布于東部人口稠密經(jīng)濟發(fā)達地區(qū)，排名前五省份分別為：河南3251個，山東 1563個，浙江1055個，江蘇837個，安徽453個。

4 治理與防護建議

BotNet 已失陷設(shè)備的治理，需監(jiān)管部門和運營商配合處理，作為后續(xù)實踐工作不再展開贅述。

上文通過各個維度的測量研究，揭露了僵尸網(wǎng)絡(luò)的傳播方法及原理。因此站在普通用戶的角度，針對 IoT BotNet的防護建議如下：

⑴ 檢查家庭邊界路由或光貓設(shè)備，關(guān)閉不需要暴露在公網(wǎng)的端口，同時可使用Shodan搜索引擎，檢查出口IP是否存在資產(chǎn)暴露現(xiàn)象；

⑵ 定期及時更新所屬的物聯(lián)網(wǎng)設(shè)備固件，若設(shè)備更新已不被廠商支持，建議直接下線此類設(shè)備；

⑶ 設(shè)置加密強度更強的各類密碼，包括Web管理員密碼、SSH密碼等，同時設(shè)備條件允許的話，SSH使用公私鑰登錄，關(guān)閉密碼登錄；

⑷ 定期重啟設(shè)備，可以清除大部分不具有持久化功能的BotNet。

5 結(jié)束語

近年來隨著物聯(lián)網(wǎng)產(chǎn)業(yè)飛速發(fā)展，IoT僵尸網(wǎng)絡(luò)規(guī)模日漸壯大，嚴重威脅工業(yè)生產(chǎn)及社會安全。本文設(shè)計了一套實用性強的分布式蜜罐系統(tǒng)，通過為期半年的大規(guī)模測量活動和多維度統(tǒng)計分析，揭露僵尸網(wǎng)絡(luò)的傳播原理和現(xiàn)網(wǎng)態(tài)勢，最后給出針對性的防護和治理建議。本文得到奇安信星跡、司南、天穹等平臺數(shù)據(jù)支撐。

參考文獻（References）：

[1] Kambourakis G， Kolias C， Stavrou A. The mirai botnet and

the iot zombie armies[C]//MILCOM 2017-2017 IEEE Military Communications Conference （MILCOM）. IEEE， 2017：267-272.

[2] Feng X， Li Q， Wang H， et al. Acquisitional rule-based

engine for discovering internet-of-things devices[C]//27th {USENIX} Security Symposium （{USENIX} Security 18），2018：327-341.

[3] [IPIP.NET] IPv4地址庫，2022. https：//www.ipip.net/.

[4] ?etin O， Ganán C， Altena L， et al. Cleaning Up the Internet

of Evil Things： Real-World Evidence on ISP and Consumer Efforts to Remove Mirai[C]//NDSS，2019.

[5] Syakur M A， Khotimah B K， Rochman E M S， et al.

Integration k-means clustering method and elbow method for identification of the best customer profile cluster[C]//IOP conference series： materials science and engineering. IOP Publishing，2018，336：012017.