Преступники запускают одинаковые команды для поиска открытых портов и отключения межсетевых экранов.
Трехлетний эксперимент с ханипотами, имитирующими IoT-устройства с низким уровнем взаимодействия различных типов, дал исследователям четкое представление о том, почему киберпреступники атакуют определенные устройства.
Приманки предназначалась для имитации достаточно разнообразной экосистемы и сбора данных для определения целей злоумышленников. Три компонента экосистемы приманок, созданной исследователями из Национального Института стандартов и технологий США (The National Institute of Standards and Technology, NIST) и Университета Флориды, включали серверные фермы, систему проверки и инфраструктуру сбора и анализа данных.
Исследователи установили эмуляторы приманок IoT-устройств Cowrie, Dionaea, KFSensor и HoneyCamera и настроили свои экземпляры так, чтобы они отображались как реальные устройства в поисковых системах Censys и Shodan.
В эксперименте использовались три основных типа приманок:
HoneyShell — эмуляция набора UNIX-утилит командной строки Busybox.
HoneyWindowsBox — эмуляция IoT-устройств под управлением Windows.
HoneyCamera — эмуляция различных IP-камер Hikvision, D-Link и других устройств.
Приманки были настроены для ответа на трафик злоумышленников и методы атаки. Специалисты использовали собранные данные для изменения конфигурации и защиты IoT, а затем собрали новые данные, отражающие реакцию атакующих на эти изменения.
В ходе эксперимента были получены данные 22,6 млн запросов, подавляющее большинство из которых было нацелено на приманку HoneyShell. Атакующие демонстрировали во многом похожие методы атак. Например, большинство хакеров запускают такие команды, как «masscan» для поиска открытых портов и «/etc/init.d/iptables stop» для отключения межсетевых экранов.
Многие злоумышленники запускают команды «free -m», «lspci grep VGA» и «cat/proc/cpuinfo», нацеленные на сбор информации об оборудовании жертвы.
Почти миллион запросов проверял комбинацию логина и пароля «admin/1234», указывая на чрезмерное использование данной комбинации учетных данных в IoT-устройствах.
Приманки HoneyShell и HoneyCamera были атакованы в основном для дальнейшего проведения DDoS-атак и часто также были заражены вариантом Mirai или криптомайнером. Заражение майнером чаще всего происходило на приманках под управлением Windows.
В случае с HoneyCamera исследователи намеренно создали уязвимость раскрытия учетных данных и заметили, что 29 атакующих эксплуатировали уязвимость вручную.
По словам экспертов, только в 13% случаев (314 112 уникальных сеансов) происходило хотя бы одно успешное выполнение команды внутри приманок. Таким образом, лишь некоторые преступники выполнили свой следующий шаг, а остальные (87%) пытались только найти правильную комбинацию логина и пароля».