Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] ThingPot: an interactive Internet-of-Things honeypot

Meng Wang, J. Santillán|arXiv (Cornell University)|2018. 07. 11.
Network Security and Intrusion Detection참고 문헌 5인용 수 44
한 줄 요약

ThingPot은 공격자 행동을 연구하기 위해 전체 IoT 플랫폼을 시뮬레이션하는 대화형 IoT 허니팟입니다.

ABSTRACT

The Mirai Distributed Denial-of-Service (DDoS) attack exploited security vulnerabilities of Internet-of-Things (IoT) devices and thereby clearly signalled that attackers have IoT on their radar. Securing IoT is therefore imperative, but in order to do so it is crucial to understand the strategies of such attackers. For that purpose, in this paper, a novel IoT honeypot called ThingPot is proposed and deployed. Honeypot technology mimics devices that might be exploited by attackers and logs their behavior to detect and analyze the used attack vectors. ThingPot is the first of its kind, since it focuses not only on the IoT application protocols themselves, but on the whole IoT platform. A Proof-of-Concept is implemented with XMPP and a REST API, to mimic a Philips Hue smart lighting system. ThingPot has been deployed for 1.5 months and through the captured data we have found five types of attacks and attack vectors against smart devices. The ThingPot source code is made available as open source.

연구 동기 및 목표

  • IoT 플랫폼을 완전한 IoT 플랫폼으로 모방하는 대화형 허니팟을 배치하여 IoT 플랫폼에 대한 공격자 전략을 이해한다.
  • IoT 프로토콜(XMPP/MQTT HIH)과 REST 백엔드 전반에 걸친 공격자 상호작용을 PoC Philips Hue 시나리오에서 평가한다.
  • 보안 연구를 위한 IoT 허니팟 배포를 재현하고 확장하기 위한 오픈 소스 도구를 제공한다.

제안 방법

  • ThingPot을 IoT 플랫폼을 시뮬레이션하는 XMPP/MQTT HIH 모듈과 REST 기반 LIH 디바이스 에뮬레이션을 갖춘 하이브리드(중/고) 상호작용 IoT 허니팟으로 제안한다.
  • XMPP 클라이언트, REST API, 그리고 REST와 XMPP 로그를 shared_id로 연결하는 로깅 시스템을 갖춘 Philips Hue에서 영감을 받은 PoC를 구현한다.
  • 백엔드 API 세부 정보를 은폐하고 회복력을 위해 프록시를 사용하는 격리된 환경에서 ThingPot를 배포한다.
  • Phue 브리지 API를 에뮬레이션하는 Django REST 프레임워크 백엔드와 REST 및 XMPP 구성요소용 맞춤 로깅 시스템을 사용한다.
  • 로그된 데이터를 분석하여 공격자 유형, 패턴 및 공격 벡터를 식별하며, 타깃 공격 및 스캐닝 활동을 포함한다.

실험 결과

연구 질문

  • RQ1전체 IoT 플랫폼 허니팟과 상호작용할 때 어떤 공격자 전략과 벡터가 관찰되는가?
  • RQ2IoT 플랫폼에서 REST 기반 IoT 백엔드 또는 XMPP 통신 경로 중 공격자들이 주로 타겟으로 삼는 부분은 어디인가?
  • RQ3IoT 플랫폼 시뮬레이션(예: Philips Hue 사용 사례)에 대한 공격의 일반적인 패턴과 특징은 무엇인가?

주요 결과

  • 배치 1.5개월 동안 1.13e5건이 넘는 요청이 포착되었으며, 41.5%는 타깃이었고 49.2%는 비타깃이었으며(다른 항목은 정의되지 않음).
  • HTTP REST 요청은 요청의 42.9%를 차지하여 공격자로부터 REST 기반 상호작용이 상당함을 시사한다.
  • 사용자 에이전트를 통해 멀웨어 유사 패턴(jorgee 등), 무차별 대입/퍼징 패턴(botlight, 000modscan), 스캐닝 도구(Skipfish, Nikto, masscan) 등 여러 공격자 페르소나를 식별했다.
  • 일부 공격자들은 Hue API 상호작용을 시뮬레이션하는 JSON 본문이 포함된 POST 요청을 통해 Philips Hue 특정 제어를 시도했고, 다른 이들은 광범위한 URL- 또는 본문 기반 프로빙을 수행했다.
  • 대부분의 관찰된 공격은 일반적인 스캐닝으로 시작한 후 표적화된 무차별 대입 또는 퍼징 시도로 이어졌으며, 출처를 TOR를 통해 마스킹하는 경우가 많았다.
  • 데이터는 XMPP 경로에 대한 직접적인 악용 시도가 제한적임을 시사하며, XMPP가 공격자에게 복잡성을 증가시키거나 IoT 플랫폼이 아닌 XMPP 서버를 타깃할 수 있음을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.