Çeşitli türlerde ve konumlarda simüle edilmiş düşük etkileşimli IoT cihazlarını içeren üç yıllık bir bal küpü deneyi, aktörlerin neden belirli cihazları hedeflediğine dair net bir fikir veriyor.
Daha spesifik olarak, bal küpü, yeterince çeşitli bir ekosistem yaratmayı ve üretilen verileri, rakiplerin hedeflerini belirleyecek şekilde kümelemeyi amaçlıyordu.
IoT (Nesnelerin İnterneti) cihazları, kameralar, ışıklar, kapı zilleri, akıllı TV’ler, hareket sensörleri, hoparlörler, termostatlar ve çok daha fazlası gibi internete bağlı küçük cihazları içeren gelişen bir pazardır.
2025 yılına kadar bu cihazların 40 milyardan fazlasının internete bağlanacağı ve bu cihazların yetkisiz kripto madenciliğinde veya DDoS sürülerinin bir parçası olarak kullanılabilecek ağ giriş noktaları veya hesaplama kaynakları sağlayacağı tahmin ediliyor.
Sahneyi kurmak
NIST ve Florida Üniversitesi’ndeki araştırmacılar tarafından kurulan bal küpü ekosisteminin üç bileşeni, sunucu çiftliklerini, bir inceleme sistemini ve veri yakalama ve analiz altyapısını içeriyordu.
Farklı bir ekosistem oluşturmak için araştırmacılar, kullanıma hazır IoT bal küpü emülatörleri olan Cowrie, Dionaea, KFSensor ve HoneyCamera’yı kurdular.
Araştırmacılar, örneklerini internete bağlı hizmetler bulan iki özel arama motoru olan Censys ve Shodan’da gerçek cihazlar olarak görünecek şekilde yapılandırdı.
Üç ana balküpü türü şunlardı:
- bal kabuğu – Meşgul Kutusunu Taklit Etme
- BalWindowsKutu – Windows çalıştıran IoT cihazlarının öykünmesi
- HoneyKamera – Hikvision, D-Link ve diğer cihazlardan çeşitli IP kameraları taklit etme.
Bu deneydeki yeni bir unsur, bal küplerinin saldırgan trafiğine ve saldırı yöntemlerine yanıt verecek şekilde ayarlanmasıdır.
Araştırmacılar, toplanan verileri IoT yapılandırmasını ve savunmalarını değiştirmek için kullandı ve ardından aktörün bu değişikliklere verdiği yanıtı yansıtan yeni veriler topladı.
Bulgular
Deney, büyük çoğunluğu HoneyShell bal küpünü hedef alan 22,6 milyon büyük isabetten veri üretti.
Çeşitli aktörler benzer saldırı modelleri sergilediler, çünkü büyük olasılıkla amaçları ve bunları gerçekleştirmenin araçları ortaktı.
Örneğin, çoğu oyuncu açık portları taramak için “masscan” ve güvenlik duvarlarını devre dışı bırakmak için “/etc/init.d/iptables stop” gibi komutlar çalıştırır.
Ek olarak, birçok oyuncu “free -m”, “lspci grep VGA” ve “cat /proc/cpuinfo” çalıştırır ve üçü de hedef cihaz hakkında donanım bilgisi toplamayı amaçlar.
İlginç bir şekilde, neredeyse bir milyon isabet “yönetici / 1234” kullanıcı adı-şifre kombinasyonunu test etti ve IoT cihazlarında kimlik bilgilerinin aşırı kullanımını yansıttı.
Nihai hedeflere gelince, araştırmacılar HoneyShell ve HoneyCamera bal küplerinin esas olarak DDoS alımı için hedeflendiğini ve genellikle bir Mirai varyantı veya madeni para madenciliği ile enfekte olduklarını buldular.
Coin madenci enfeksiyonları, Windows bal küpünde en yaygın gözlemdi ve bunu virüsler, damlalıklar ve truva atları izledi.
HoneyCamera örneğinde, araştırmacılar, kimlik bilgilerini ortaya çıkarmak için kasıtlı olarak bir güvenlik açığı oluşturdular ve 29 aktörün kusurdan manuel olarak yararlandığını fark ettiler.
“Bale küpleri içinde en az bir başarılı komut yürütme ile yalnızca 314 112 (% 13) benzersiz oturum algılandı” diye açıklıyor. Araştırma kağıdı.
“Bu sonuç, saldırıların yalnızca küçük bir bölümünün sonraki adımlarını gerçekleştirdiğini ve geri kalanının (%87) yalnızca doğru kullanıcı adı/şifre kombinasyonunu bulmaya çalıştığını gösteriyor.”
Cihazlarınızın güvenliğini nasıl sağlarsınız
Bilgisayar korsanlarının IoT cihazlarınızı ele geçirmesini önlemek için şu temel önlemleri alın:
- Varsayılan hesabı benzersiz ve güçlü (uzun) bir hesapla değiştirin.
- IoT cihazları için ayrı bir ağ kurun ve onu kritik varlıklardan izole edin.
- Mevcut ürün yazılımı veya diğer güvenlik güncellemelerini mümkün olan en kısa sürede uyguladığınızdan emin olun.
- IoT cihazlarınızı aktif olarak izleyin ve istismar belirtileri arayın.
En önemlisi, bir cihazın İnternet’e maruz kalması gerekmiyorsa, yetkisiz uzaktan erişimi önlemek için bir güvenlik duvarlarının veya VPN’nin arkasına yerleştirildiğinden emin olun.