IoT僵尸網絡傳播大規模測量研究

俞意 李建華 沈晨 王強 劉躍

摘? 要： 物聯網終端數量急劇增長，而其自身安全防御能力不足。目前由物聯網僵尸網絡帶來的攻擊，已明顯影響到社會及工業安全。本文設計了一套專用于捕獲IoT僵尸網絡傳播行為的蜜罐系統HoneyCC，并開展為期半年的大規模測量研究，捕獲四億多攻擊數據及5.5萬個BotNet樣本。在此基礎上開展多維度的測量分析，揭露IoT僵尸網絡現網態勢和傳播方法，給出治理和防護建議。

關鍵詞： 物聯網； 僵尸網絡； 漏洞利用； 蜜罐

中圖分類號：TP393? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2023）09-37-06

Large-scale measurement study of IoT botnet infection behavior

Yu Yi1， Li Jianhua2， Shen Chen3， Wang Qiang4， Liu Yue5

（1. Zhejiang National Defense Science and Industry Promotion Center， Hangzhou， Zhejiang 310005， China; 2. Zhejiang Safety Technology Prevention Industry Association; 3. Jinhua Polytechnic; 4. Zhejiang National Defense Science and Industry Promotion Center; 5. QiAnXin Group）

Abstract： The number of IoT terminals is growing dramatically， while their own security defense capability is insufficient. The current attacks brought by IoT botnet have significantly affected the social and industrial security. In this paper， we design a honeypot system HoneyCC dedicated to capturing the propagation behavior of IoT botnets， and conduct a six-month large-scale measurement study to capture more than 400 million attack data and 55，000 botnet samples. On this basis， we carry out a multi-dimensional measurement analysis to reveal the current network situation and propagation methods of IoT botnets， and give recommendations for governance and protection.

Key words： IoT; botnet; vulnerability exploitation; honeypot

0 引言

在當前新基建信息化建設大背景下，5G 通訊、工業互聯網等新型互聯網基礎設施不斷涌現，催生了智慧城市、智能制造、無人駕駛等全新物聯網應用場景和相關產業的飛速發展。物聯網（Internet of Things， IoT）已成為現代信息社會的重要基礎設施。近年在5G通訊技術加持下，物聯網終端種類及數量高速增長，根據GSMA發布的《The mobile economy 2022》報告顯示，2021年全球物聯網總連接數達151億，預計到2025年規模將達233億。然而，從物聯網漏洞報告趨勢、現網漏洞攻擊態勢、軟件安全防護機制等多個角度分析發現，物聯網當前整體安全形勢不容樂觀。基于性能考量，PC端常見的安防技術在IoT設備中未得到普及。龐大的終端基數，同時又普遍欠缺安全性考慮，因此物聯網設備近年來也逐漸被惡意攻擊者所關注，已成僵尸網絡（BotNet）攻擊的重災區。如何有效測量僵尸網絡的傳播方法及途徑，對現網攻擊檢測、防御及污染治理具有較大意義。

針對以上問題，本文從攻擊者的視角，對僵尸網絡傳播行為進行深入分析與測量，定位失陷目標，提出檢測與治理方法，期望能輔助行業更好地解決當前面臨的實際安全問題。本文主要貢獻如下：

⑴ 設計了一種基于IoT設備指紋模擬的低交互式蜜罐，實現1個獨立IP同時模擬數百個設備的目的，極大提升了IoT攻擊行為的捕獲效率。

⑵ 設計了一種基于IoT蜜罐的攻擊行為捕獲平臺，分布式部署于全球范圍內共300個節點，在半年內共捕獲429，151，893次攻擊數據，基于以上數據對僵尸網絡傳播行為開展大規模被動測量活動，對后續相關研究具有較高價值。

⑶ 多維度分析了僵尸網絡的傳播方法與途徑，全面透視其傳播態勢，并給出防御治理建議，對解決實際攻擊失陷行為有較高的實踐意義。

本文結構為：第1節介紹BotNet傳播模型；第2節介紹實驗設計方法思路；第3節對攻擊數據進行大規模測量分析；第4節給出具體治理與防御建議；第5節進行總結與研究展望。

1 BotNet傳播模型

IoT BotNet由諸如視頻監控、路由器、防火墻等眾多聯網設備組成，每個設備包含一個或多個僵尸程序。其所有者使用命令和控制軟件來操控網絡，執行各種需大規模自動化的（惡意）行動。其中包含：

⑴ 分布式拒絕服務（DDoS）攻擊，造成目標服務不可用；

⑵ 用作攻擊鏈路向攻擊者提供VPN訪問權限；

⑶ 組成匿名通信網絡，用于逃逸監管審查等目的。

我們以Kambourakis[1]等人提到的Mirai通信模型為例。如圖1所示，整個通信框架包括攻擊者、BotNet（僵尸網絡）、Reporter（報告服務器）、C&C（控制節點）、Loader（惡意代碼服務器）、新的受害者及被攻擊者。攻擊者使用特定方法攻陷暴露在互聯網且存在漏洞的路由器、攝像頭等IoT設備，這些被攻陷設備組成 BotNet。其感染傳播流程為：BotNet對可達網絡范圍內持續掃描探測，定位可攻擊的目標設備，同時使用SSH密碼爆破或利用特定設備漏洞，感染新的受害者（即Bot）。新Bot被攻陷后，通常會從Loader加載惡意代碼樣本并運行，加入到整個BotNet中。同時BotNet向Reporter匯報有新的受控目標，Reporter將新失陷的Bot的信息同步給C&C。如攻擊者需利用 BotNet對特定目標發起攻擊，通常由C&C下發攻擊命令，每個Bot接受到命令后，預定攻擊手段，向目標發起指定形式的攻擊。

在整個通信控制流程中，我們重點關注第1步，即通過掃描探測結合漏洞利用的感染傳播過程。若能對該步驟實時態勢感知，即可獲取以下信息：

⑴ 已失陷Bot的IP地址，及IP相關的地理位置、組織機構及設備類型等信息；

⑵ 使用的攻擊手段，如口令和漏洞PoC等；

⑶ BotNet惡意代碼樣本。

2 實驗設計

基于對IoT僵尸網絡傳播行為進行大規模被動測量目標，我們從攻擊者角度設計了一套蜜罐（Honeypot）系統，專用于捕獲其傳播攻擊行為。

2.1 攻擊特征總結

經典的攻擊流程通常分為以下五個步驟：

⑴ 挖掘設備漏洞，對漏洞利用程序進行武器化；

⑵ 目標網絡資產測繪，確定設備廠商、型號、版本；

⑶ 蜜罐清洗過濾，剔除可能是蜜罐的目標；

⑷ 利用漏洞利用程序，攻陷目標；

⑸ 加載惡意代碼，將新感染者加入到BotNet中。

因蜜罐形態的多樣性，對抗成本相對較高，因此在IoT BotNet的傳播過程中，往往省略了第三步清洗過程。利用該特點設計普遍適用于IoT場景的低交互式蜜罐，對BotNet的傳播行為進行捕獲。

2.2 IoT設備指紋

針對攻擊流程第二步，通常BotNet進行攻擊前需要情報偵察，判斷目標設備是否屬于可漏洞利用的指定型號。如何將當前蜜罐節點偽裝成攻擊者想要攻擊的目標是此過程中的難點。我們借鑒了大網資產測繪的方法（Shodan、Censys、Zoomeye、FOFA等） 及ARE[2]等已有工作方法，提取IoT設備特有的指紋，然后聚合大量不同物聯網廠商設備的資產指紋，形成IoT蜜罐。

如表1、圖2所示，通過預先積累大量資產指紋規則，再基于通用的Web蜜罐系統，在HTTP的header或body填充類似的指紋信息，可誤導BotNet等自動攻擊程序，將蜜罐節點錯誤識別成要被攻擊的目的設備。

2.3 IoT蜜罐設計

蜜罐是一種被密切監控的網絡誘餌，用于吸引攻擊者，從而為真實系統提供有關攻擊類型與傾向的數據，同時通過分析被攻擊過的蜜罐，深入剖析攻擊者的行為。按可交互程度，蜜罐分低交互、中交互及高交互三類。因測量目標為BotNet而非人為攻擊行為，所以在設計之初，權衡捕獲能力、執行效率和運營便捷性，采用低交互式蜜罐設計形態，蜜罐架構設計如圖3所示。

基于設備資產指紋基礎設計實現IoT低交互式蜜罐系統HoneyCC，如圖4所示。結構上采用Docker容器虛擬化技術，分別部署了SSH、Telnet和HTTP三種類型。其中HTTP蜜罐，復用1000種不同的設備指紋，包括華碩、D-Link、海康威視、TP-Link、小米、華為等主流物聯網廠商，從而達到在一個獨立IP上同時模擬多個設計的目的。得益于輕量級設計模式，HoneyCC可較容易分布式大量部署于互聯網。

2.4 部署與運營

將HoneyCC蜜罐節點分布式部署于多個地區，數據中心部署于北京。通過不斷更新迭代資產指紋規則，增強蜜罐捕獲能力，半年內共捕獲近4.3億次攻擊。這些攻擊行為主要分兩類：一是針對SSH及Telnet的用戶名及密碼爆破攻擊；二是采用設備特定漏洞的PoC攻擊。蜜罐協議端口使用情況如表2所示。

3 傳播測量分析

對捕獲的原始數據從源 IP、目的 IP、目的端口、Payload等多個維度展開分析，主要回答以下問題：哪些設備已被感染，歸屬是誰？哪些設備正被感染？哪些漏洞被用于攻擊傳播？哪些BotNet家庭最為活躍？

3.1 哪些設備已經被感染

測量時段內觀測到有攻擊行為的源IP累計共1417652個。這些IP分布于除南極洲外的所有大洲，有設備使用的地方就可能成為僵尸網絡感染區域。

全球約31.85%被感染或曾被感染IP分布于中國大陸。排名前十的國家或地區分別為：中國451539個，巴西107748個，美國101091個，印度 82955個，伊朗66965個，俄羅斯51178個，越南39054個，印尼35725個，德國28129個，意大利26877個。我們使用IP地址庫[3]，對運營商進行統計分析。

如表3所示，聯通、電信等運營商占據多數，而Digitalocean、亞馬遜云、阿里云失陷設備數量遠小于電信運營商，基本符合Cetin[4]等人的分析結果。

利用Shodan和Censys的IP測繪數據對以上IP開展資產統計分析，結合設備資產指紋規則進行聚類及標簽化處理。受限于被動的獲取方式，部分已失陷IP缺失測繪數據，但已知數據也可反映一些問題。從表4來看，家用路由器（如MikroTik、華為、中興、TP-Link）、視頻監控（?？低暋⑿圻~、H264DVR、同為）這兩類設備占失陷目標的絕大部分。

3.2 哪些目標正在被感染

通過對目標端口的統計，可直接觀測到BotNet 感興趣的協議和端口。在表5中，我們發現2222端口（SSH 協議）反而是其最感興趣的目標端口，占總數的 26%，這表明某些設備開放了2222端口且使用了默認密碼或弱口令。而22端口才是 SSH 協議的默認端口，2222端口只是部分設備的定制化端口。廠商更換默認端口往往是處于安全性考慮，但定制端口2222 反而也存在安全隱患。因此安全縱深防御尤其重要。在后續小結，我們對漏洞利用行為進行分析，可定位出部分受災嚴重的廠商及其對應型號設備，這里不再展開。

3.3 哪些漏洞被用于攻擊傳播

從僵尸網絡的傳播方式觀察，主要有兩種方式：一是使用設備默認口令或弱口令進行爆破；二是針對特定設備利用漏洞攻擊，獲取目標設備的shell權限，加載惡意代碼形成新的Bot。

3.3.1 弱口令攻擊分析

因部分設備出廠存在默認口令，以及使用人員對安全密碼的重視程度不夠，弱口令問題是當前網絡環境主要問題之一。而多數BotNet往往瞄準該問題進行Telnet及SSH弱口令爆破攻擊，來達到傳播目的。例如Mirai家庭及其變種在BotNet樣本內部維護了一個弱口令密碼庫。在測量時段共發生弱口令爆破攻擊290，746，997次。分別對爆破所使用用戶和密碼進行統計如表6所示。從結果看，root用戶被使用的概率高居榜首，11.7％的爆破攻擊使用了該用戶。

3.3.2 常見漏洞利用分析

通過對蜜罐捕獲的漏洞利用Payload進行分析，綜合采用相似度匹配和聚類的方式，再經過人工審查，對具體的PoC進行分析。

因數據量過于龐大，首先分析周期為七天的IoT蜜罐收集的HTTP報文數據，經統計共有570多萬條，但存在相同PoC多次打入蜜罐造成數據重復的情況，故先進行去重處理，去重后數據量為324356條。分析數據流所有有效字段發現僅有path、header、body三個可能含Payload，為有效識別Payload，先對每個字段進行分詞，以正則匹配a-z、A-Z、0-9等可構成語義的有效詞語，隨后利用 N-gram 算法對提取結果進行擴充，再利用 Tf-idf 算法計算每個分詞具體特征值。將三個字段的特征值進行拼接，得到一個完整報文的特征向量表示。之后利用Elbow方法[5]計算可聚類的最優簇數，利用K-means算法完成聚類。

表7最終整理出53種不同漏洞利用的Payload，占總數15.29％，仍有84.71％未識別出具體對應CVE或設備。但這部分數據也可反映一定程度問題。

3.4 哪些BotNet家族最活躍

測量期間累計捕獲BotNet樣本55435個，基于奇安信天穹動態沙箱將樣本在相應虛擬環境里運行，同時捕獲代碼及其網絡行為，共有8050個樣本存在網絡行為。通過該部分樣本通信流量Pcap包和C2協議進行分揀，具體結果如表8所示，Mirai、Gafgyt及Mozi等家族表現最為活躍。

3.4.1 Mirai家族

Mirai是一款開源惡意軟件，其感染Linux操作系統設備并利用被感染設備進行DDoS攻擊。其感染對象以可訪問網絡的消費級電子設備為主，如網絡監控攝像機和家庭路由器等。Mirai僵尸網絡已參與數次影響廣泛的大型DDoS攻擊，如對法國網站托管商OVH的攻擊，2016年10月Dyn公司網絡攻擊事件等。

2016年其源代碼以開源形式發布至黑客論壇，其技術也已被其他一些惡意軟件采用；基于其開源代碼的變種不斷出現又瘋狂傳播，影響不可小覷。

最初版的Mirai使用的是一組固定的默認登錄名及密碼組合憑證，對SSH及Telnet等常見服務進行爆破登錄。僅憑64個眾所周知的默認登錄名及密碼， Mirai就能感染60萬個IoT設備。

3.4.2 Mozi家族

Mozi依賴DHT協議建立一個P2P網絡。主要攻擊指令包括：DDoS攻擊、收集Bot信息、執行指定URL的Payload、執行系統或自定義命令。其主要通過 Telnet 弱口令和漏洞利用兩種方式感染新設備，均使用半連接掃描。Telnet 弱口令掃描端口：23，2323， 50023，1023；漏洞利用掃描端口：81，8080，7574，49152，5555，8443，80，37215，52869，8008。默認搭載的Exploits包括：

⑴ Realtek SDK命令注入；

⑵ GPon Router命令注入；

⑶ Huawei Router HG532命令注入；

⑷ UPnP SOAP TelnetD命令注入；

⑸ CCTV/DVR遠程代碼執行；

⑹ JAWS Webserver命令注入；

⑺ Netgear setup.cgi未授權RCE；

⑻ Netgear cig-bin命令注入；

⑼ Vacron NVR遠程代碼執行；

⑽ Eir D1000 Wireless Router命令注入；

⑾ HNAP SOAPAction-Header命令注入。

3.4.3 Gafgyt家族

Gafgyt最早于2014年出現，2015年其源碼被公開，后續引出大量變種（Bashlite、Qbot等）。該家族C&C服務器大多分布于北美和歐洲，且常集中于同一城區。其主要傳播端口包括80/HTTP、3074/TCP、30100/UDP、30000/UDP、30200/UDP 等。默認搭截的Exploits包括：

⑴ GPon Router命令注入；

⑵ AirLink101遠程代碼執行；

⑶ 多個視頻監控廠商遠程代碼執行；

⑷ D-Link路由器多個漏洞；

⑸ Huawei Router HG532命令注入；

⑹ JAWS未授權命令注入；

⑺ AVTECH視頻監控未授權命令注入；

⑻ Vacron視頻監控遠程代碼執行；

⑼ NNUO產品命令注入。

從漏洞清單來看，部分漏洞與表7中統計相符，如JAWS及AVTECH視頻監控等產品漏洞。

3.5 Loader和C&C分析

統計時間段內，累計監控到僵尸網絡樣本下發 URL共569067條，涉及Loader（下發點）及C2 IP 363212個，域名1288個。圖5下發點及C2 IP遍布五大洲，排名前五國家或地區分別為：中國9429個，英國7222個，伊朗5305個，俄羅斯4046個，印度2676個。國內下發點及C2 IP集中分布于東部人口稠密經濟發達地區，排名前五省份分別為：河南3251個，山東 1563個，浙江1055個，江蘇837個，安徽453個。

4 治理與防護建議

BotNet 已失陷設備的治理，需監管部門和運營商配合處理，作為后續實踐工作不再展開贅述。

上文通過各個維度的測量研究，揭露了僵尸網絡的傳播方法及原理。因此站在普通用戶的角度，針對 IoT BotNet的防護建議如下：

⑴ 檢查家庭邊界路由或光貓設備，關閉不需要暴露在公網的端口，同時可使用Shodan搜索引擎，檢查出口IP是否存在資產暴露現象；

⑵ 定期及時更新所屬的物聯網設備固件，若設備更新已不被廠商支持，建議直接下線此類設備；

⑶ 設置加密強度更強的各類密碼，包括Web管理員密碼、SSH密碼等，同時設備條件允許的話，SSH使用公私鑰登錄，關閉密碼登錄；

⑷ 定期重啟設備，可以清除大部分不具有持久化功能的BotNet。

5 結束語

近年來隨著物聯網產業飛速發展，IoT僵尸網絡規模日漸壯大，嚴重威脅工業生產及社會安全。本文設計了一套實用性強的分布式蜜罐系統，通過為期半年的大規模測量活動和多維度統計分析，揭露僵尸網絡的傳播原理和現網態勢，最后給出針對性的防護和治理建議。本文得到奇安信星跡、司南、天穹等平臺數據支撐。

參考文獻（References）：

[1] Kambourakis G， Kolias C， Stavrou A. The mirai botnet and

the iot zombie armies[C]//MILCOM 2017-2017 IEEE Military Communications Conference （MILCOM）. IEEE， 2017：267-272.

[2] Feng X， Li Q， Wang H， et al. Acquisitional rule-based

engine for discovering internet-of-things devices[C]//27th {USENIX} Security Symposium （{USENIX} Security 18），2018：327-341.

[3] [IPIP.NET] IPv4地址庫，2022. https：//www.ipip.net/.

[4] ?etin O， Ganán C， Altena L， et al. Cleaning Up the Internet

of Evil Things： Real-World Evidence on ISP and Consumer Efforts to Remove Mirai[C]//NDSS，2019.

[5] Syakur M A， Khotimah B K， Rochman E M S， et al.

Integration k-means clustering method and elbow method for identification of the best customer profile cluster[C]//IOP conference series： materials science and engineering. IOP Publishing，2018，336：012017.