IoT-Honeypot von Radware
Wie man IoT-Bots überlisten kann - der Chat mit einem Bot
Der Chat mit dem IoT-Bot
Der Mirai-Angriff im Oktober 2016 war der Startschuss für eine neue Ära an DDoS-Bedrohungen. Durch diesen Angriff wurde der unzureichende Sicherheitsstatus von IoT (Internet der Dinge) das erste Mal offenbart und die unkomplizierte Bedrohung für IoT-Geräte wie Kameras, DVRs und Router offensichtlich.
Das Internet der Dinge wurde und wird so zum Spielplatz für viele neue Bots und verwandelt sich langsam in ein Schlachtfeld für bösartige und gutartige Bots. Seit Dezember 2016 stieg die Anzahl potentieller Bots auf knapp 1 Million. IoT wird somit zunehmend zur größten Waffe für DDoS-Angriffe. Durch die aggressiven Scan- und Datensammel-Methoden von Mirai und der rasant ansteigenden Anzahl von modifizierten Botnets in den letzten neun Monaten, sollte es nicht mehr lange dauern, bis massenhaft ungeschützte und unsichere Geräte ausgenutzt und für Angriffe missbraucht werden, sobald diese mit dem Internet verbunden sind.
Das Radware Security Research Team setzt bereits seit Januar einige Sensoren ein, um ein Gefühl dafür zu bekommen wie schlimm die Entwicklung tatsächlich ist. Dazu wurde zunächst ein ganz einfacher, benutzerdefinierter Telnet-Server aufgebaut, der über Port 23 jeden Benutzernamen und jede Passwort-Kombination akzeptierte und diese Daten über ein Shell- oder Command-line Interface an den entfernten Peer übergab. In weniger als 10 Minuten versuchten die ersten Bots diese Nodes zu Kompromittieren. Dieser Angriffszeitraum ist mittlerweile auf drei bis fünf Minuten gesunken.
IoT Honeypot
Um diese Erkenntnis zu nutzen, entwickelten wir einen Chatterbot, oder auch IoT Honeypot genannt, um einen Dialog mit dem angreifenden Bot herzustellen und dadurch dessen Malware-Binärdatei zu enthüllen.
Einige Bots erwarten immer bestimmte Reaktionen aus den ausgegebenen Befehlen. Falls dies nicht passiert, verschwinden sie wieder. Da es aber keinen Mangel an angreifenden Bots gab, konnte mit der Zeit ein konsistenter Dialog mit den Bots aufgebaut und fortgesetzt werden, bis dieser sein wahres Gesicht zeigte und den Ort seiner Binärdatei frei gab. Typischerweise dargestellt über die wgat oder ftp/tftp-Befehle.
Mit Ausnahme von einigen randomisierten Token und binären Download-Locations, waren die meisten Dropper-Befehlssequenzen konsistent und zeigten viele Ähnlichkeiten. Durch die Verknüpfung und Normalisierung der Bot-Befehlsfolge und -Hashings, konnten die Forscher einen Fingerabdruck erschaffen, der ganze Familien ähnlicher Bots eindeutig identifizierte.
Sobald sich also die Bots auf den Honeypot eingelassen hatten, erhielt der Honeypot mehr Funktionalität, um die Malware-Binärdatei auf seinen Speicher herunterzuladen. Dadurch konnten bestimmte Hashes auf den Inhalt hin ausgeführt werden, um einen entsprechenden Malware-Fingerabdruck zu generieren. Neue Fingerabdrücke, die dem Honeypot noch unbekannt waren, wurden über MD5 oder SHA256 Hashes bei virustotal.com zur weiteren Analyse eingereicht.
Fingerabdrucks Dateien sind ein großartiges Werkzeug, um identische Bots mit Malware-Binärdateien, die sich im Laufe der Zeit entwickeln, zu identifizieren – so wie bei Hajime . Der Fingerabdruck der Command Sequenzen stimmt zwar mit dem von Hajime überein, aber die Binärdateien können sich im Laufe der Zeit verändern. Dadurch kann aber die Verfolgung von neuen Versionen des gleichen Bots aufgenommen werden.
Abbildung: Hajime Dropper Befehlssequenz
Alle diese Informationen, wie Befehlsfolge, Fingerabdruck, Malware-Binärdatei und die Geo-IP Daten, werden zusammen in einer Datenbank gespeichert und für die weiteren Analysen genutzt. Durch die permanenten Datenbankabfragen können Geschichte und Evolution von bestehenden und neuen Bots gesammelt werden, die auf den Honeypot hereingefallen sind. Unterstützend wirken dabei natürlich neue Protokolle und Exploits, wie z.B. der TR-064/069 Server (Telekom-Router Hack) oder die NewNTPServer Exploits.
Abbildung: TR-064 NewNTPServer RCE Exploit
Der IoT-Honeypot ist somit nicht vergleichbar mit einem eher traditionellen Telnet / SSH Honeypots, da er keine unvorhergesehenen oder nicht programmierten Befehle und Antworten erlaubt. Andere Honeypots setzen echte Shell-Funktionalität frei und erlauben mehr Kreativität von dem angreifenden Peer. Dies ist eine großartige Methode um das neue Angriffsverhalten zu Studieren.
Die Verwendung eines Chatterbot-Musters für den Honeypot sorgt für eine sichere und robuste Erkennung und viel Flexibilität in Bezug auf Fingerabdruck und Analyse der Aktivitäten. Keiner der Befehle des Bots wird tatsächlich vom Honeypot ausgeführt, nur bekannte und vorprogrammierte Anfragen erzeugen vorprogrammierte Antworten. Wegen der hohen Anzahl von Infektionsversuchen pro Stunde hat sich dieses Designmuster beim Studium und beim Sammeln von Daten über IoT-Bedrohungen und Botnetze bewährt.
Die jüngste Ergänzung der Radware IoT Honeypot-Infrastruktur ist ein ELK-Stack (Elasticsearch, Logstash, Kibana), der Echtzeit-Dashboards und neue Erkenntnisse über IoT-Botnet-Aktivitäten an dem Honeypot liefert.
Radware hat dazu ein White Paper mit dem Titel: „When The Bots Come Marching In“ entworfen.