[論文レビュー] ThingPot: an interactive Internet-of-Things honeypot
ThingPot は、攻撃者の行動を研究するための IoT プラットフォーム全体をシミュレートする対話型 IoT ハニーポットであり、 Philips Hue のユースケースとオープンソースデータを用いた展開。
The Mirai Distributed Denial-of-Service (DDoS) attack exploited security vulnerabilities of Internet-of-Things (IoT) devices and thereby clearly signalled that attackers have IoT on their radar. Securing IoT is therefore imperative, but in order to do so it is crucial to understand the strategies of such attackers. For that purpose, in this paper, a novel IoT honeypot called ThingPot is proposed and deployed. Honeypot technology mimics devices that might be exploited by attackers and logs their behavior to detect and analyze the used attack vectors. ThingPot is the first of its kind, since it focuses not only on the IoT application protocols themselves, but on the whole IoT platform. A Proof-of-Concept is implemented with XMPP and a REST API, to mimic a Philips Hue smart lighting system. ThingPot has been deployed for 1.5 months and through the captured data we have found five types of attacks and attack vectors against smart devices. The ThingPot source code is made available as open source.
研究の動機と目的
- IoT プラットフォーム全体を模した対話型ハニーポットを展開することで、IoT プラットフォームに対する攻撃者の戦略を理解する。
- IoT プロトコル(XMPP/MQTT HIH)と REST バックエンドを PoC Philips Hue シナリオでの攻撃者の相互作用を評価する。
- セキュリティ研究のために IoT ハニーポットの展開を再現・拡張するオープンソースツールを提供する。
提案手法
- ThingPot を、中程度/高い相互作用のハイブリッド IoT ハニーポットとして提案し、XMPP/MQTT HIH モジュールと REST ベースの LIH デバイスエミュレーションを備えた IoT プラットフォームを模倣する。
- XMPP クライアント、REST API、共有ID を介して REST と XMPP ログを結ぶロギングシステムを備えた Philips Hue インスパイアの PoC を実装する。
- ThingPot を孤立した環境にデプロイし、レジリエンスとバックエンド API の詳細をマスクするためのプロキシを用いる。
- Phue ブリッジ API をエミュレートする Django REST フレームワークバックエンドと、REST および XMPP コンポーネント用のカスタマイズされたロギングシステムを使用する。
- 記録されたデータを分析して、攻撃者のタイプ、パターン、攻撃ベクトルを特定し、標的型およびスキャニング活動を含む。
実験結果
リサーチクエスチョン
- RQ1完全な IoT プラットフォーム ハニーポットと対話する際に観察される攻撃者の戦略とベクトルは何か。
- RQ2IoT プラットフォームで REST ベースの IoT バックエンドを主に標的とするか、それとも XMPP 通信経路を標的とするか。
- RQ3IoT プラットフォームのシミュレーション(例: Philips Hue ユースケース)に対する攻撃の共通パターンと特徴は何か。
主な発見
- 展開 1.5 か月で 1.13e5 件超のリクエストをキャプチャし、41.5% が標的型、49.2% が非標的(その他は未定義)。
- HTTP REST リクエストは全リクエストの 42.9% を占め、攻撃者からの REST ベースの相互作用が substantial であることを示している。
- ユーザーエージェントを通じてマルウェア風のパターン(例: Jorgee)、ブルートフォース/ファジングパターン(例: botlight, 000modscan)、スキャンツール(Skipfish, Nikto, masscan)など、複数の攻撃者ペルソナを特定。
- 一部の攻撃者は Hue API との相互作用を模した JSON ボディを用いた POST リクエストで Philips Hue 固有の制御を試みたのに対し、他は URL やボディベースの広範なプロービングを実施した。
- 観測されたほとんどの攻撃は、まず一般的なスキャンを行い、それに続いて標的型のブルートフォースやファジング試行を実施する傾向があり、起源を TOR でマスクすることが多い。
- データは XMPP 経路への直接的な悪用の試みが限定的であることを示唆しており、XMPP が攻撃者にとって複雑さを増すか、IoT プラットフォームよりも XMPP サーバーを標的にしている可能性を示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。