IoT僵尸网络传播大规模测量研究

俞意 李建华 沈晨 王强 刘跃

摘  要： 物联网终端数量急剧增长，而其自身安全防御能力不足。目前由物联网僵尸网络带来的攻击，已明显影响到社会及工业安全。本文设计了一套专用于捕获IoT僵尸网络传播行为的蜜罐系统HoneyCC，并开展为期半年的大规模测量研究，捕获四亿多攻击数据及5.5万个BotNet样本。在此基础上开展多维度的测量分析，揭露IoT僵尸网络现网态势和传播方法，给出治理和防护建议。

关键词： 物联网； 僵尸网络； 漏洞利用； 蜜罐

中图分类号：TP393          文献标识码：A     文章编号：1006-8228（2023）09-37-06

Large-scale measurement study of IoT botnet infection behavior

Yu Yi1， Li Jianhua2， Shen Chen3， Wang Qiang4， Liu Yue5

（1. Zhejiang National Defense Science and Industry Promotion Center， Hangzhou， Zhejiang 310005， China; 2. Zhejiang Safety Technology Prevention Industry Association; 3. Jinhua Polytechnic; 4. Zhejiang National Defense Science and Industry Promotion Center; 5. QiAnXin Group）

Abstract： The number of IoT terminals is growing dramatically， while their own security defense capability is insufficient. The current attacks brought by IoT botnet have significantly affected the social and industrial security. In this paper， we design a honeypot system HoneyCC dedicated to capturing the propagation behavior of IoT botnets， and conduct a six-month large-scale measurement study to capture more than 400 million attack data and 55，000 botnet samples. On this basis， we carry out a multi-dimensional measurement analysis to reveal the current network situation and propagation methods of IoT botnets， and give recommendations for governance and protection.

Key words： IoT; botnet; vulnerability exploitation; honeypot

0 引言

在当前新基建信息化建设大背景下，5G 通讯、工业互联网等新型互联网基础设施不断涌现，催生了智慧城市、智能制造、无人驾驶等全新物联网应用场景和相关产业的飞速发展。物联网（Internet of Things， IoT）已成为现代信息社会的重要基础设施。近年在5G通讯技术加持下，物联网终端种类及数量高速增长，根据GSMA发布的《The mobile economy 2022》报告显示，2021年全球物联网总连接数达151亿，预计到2025年规模将达233亿。然而，从物联网漏洞报告趋势、现网漏洞攻击态势、软件安全防护机制等多个角度分析发现，物联网当前整体安全形势不容乐观。基于性能考量，PC端常见的安防技术在IoT设备中未得到普及。庞大的终端基数，同时又普遍欠缺安全性考虑，因此物联网设备近年来也逐渐被恶意攻击者所关注，已成僵尸网络（BotNet）攻击的重灾区。如何有效测量僵尸网络的传播方法及途径，對现网攻击检测、防御及污染治理具有较大意义。

针对以上问题，本文从攻击者的视角，对僵尸网络传播行为进行深入分析与测量，定位失陷目标，提出检测与治理方法，期望能辅助行业更好地解决当前面临的实际安全问题。本文主要贡献如下：

⑴ 设计了一种基于IoT设备指纹模拟的低交互式蜜罐，实现1个独立IP同时模拟数百个设备的目的，极大提升了IoT攻击行为的捕获效率。

⑵ 设计了一种基于IoT蜜罐的攻击行为捕获平台，分布式部署于全球范围内共300个节点，在半年内共捕获429，151，893次攻击数据，基于以上数据对僵尸网络传播行为开展大规模被动测量活动，对后续相关研究具有较高价值。

⑶ 多维度分析了僵尸网络的传播方法与途径，全面透视其传播态势，并给出防御治理建议，对解决实际攻击失陷行为有较高的实践意义。

本文结构为：第1节介绍BotNet传播模型；第2节介绍实验设计方法思路；第3节对攻击数据进行大规模测量分析；第4节给出具体治理与防御建议；第5节进行总结与研究展望。

1 BotNet传播模型

IoT BotNet由诸如视频监控、路由器、防火墙等众多联网设备组成，每个设备包含一个或多个僵尸程序。其所有者使用命令和控制软件来操控网络，执行各种需大规模自动化的（恶意）行动。其中包含：

⑴ 分布式拒绝服务（DDoS）攻击，造成目标服务不可用；

⑵ 用作攻击链路向攻击者提供VPN访问权限；

⑶ 组成匿名通信网络，用于逃逸监管审查等目的。

我们以Kambourakis[1]等人提到的Mirai通信模型为例。如图1所示，整个通信框架包括攻击者、BotNet（僵尸网络）、Reporter（报告服务器）、C&C（控制节点）、Loader（恶意代码服务器）、新的受害者及被攻击者。攻击者使用特定方法攻陷暴露在互联网且存在漏洞的路由器、摄像头等IoT设备，这些被攻陷设备组成 BotNet。其感染传播流程为：BotNet对可达网络范围内持续扫描探测，定位可攻击的目标设备，同时使用SSH密码爆破或利用特定设备漏洞，感染新的受害者（即Bot）。新Bot被攻陷后，通常会从Loader加载恶意代码样本并运行，加入到整个BotNet中。同时BotNet向Reporter汇报有新的受控目标，Reporter将新失陷的Bot的信息同步给C&C。如攻击者需利用 BotNet对特定目标发起攻击，通常由C&C下发攻击命令，每个Bot接受到命令后，预定攻击手段，向目标发起指定形式的攻击。

在整个通信控制流程中，我们重点关注第1步，即通过扫描探测结合漏洞利用的感染传播过程。若能对该步骤实时态势感知，即可获取以下信息：

⑴ 已失陷Bot的IP地址，及IP相关的地理位置、组织机构及设备类型等信息；

⑵ 使用的攻击手段，如口令和漏洞PoC等；

⑶ BotNet恶意代码样本。

2 实验设计

基于对IoT僵尸网络传播行为进行大规模被动测量目标，我们从攻击者角度设计了一套蜜罐（Honeypot）系统，专用于捕获其传播攻击行为。

2.1 攻击特征总结

经典的攻击流程通常分为以下五个步骤：

⑴ 挖掘设备漏洞，对漏洞利用程序进行武器化；

⑵ 目标网络资产测绘，确定设备厂商、型号、版本；

⑶ 蜜罐清洗过滤，剔除可能是蜜罐的目标；

⑷ 利用漏洞利用程序，攻陷目标；

⑸ 加载恶意代码，将新感染者加入到BotNet中。

因蜜罐形态的多样性，对抗成本相对较高，因此在IoT BotNet的传播过程中，往往省略了第三步清洗过程。利用该特点设计普遍适用于IoT场景的低交互式蜜罐，对BotNet的传播行为进行捕获。

2.2 IoT设备指纹

针对攻击流程第二步，通常BotNet进行攻击前需要情报侦察，判断目标设备是否属于可漏洞利用的指定型号。如何将当前蜜罐节点伪装成攻击者想要攻击的目标是此过程中的难点。我们借鉴了大网资产测绘的方法（Shodan、Censys、Zoomeye、FOFA等） 及ARE[2]等已有工作方法，提取IoT设备特有的指纹，然后聚合大量不同物联网厂商设备的资产指纹，形成IoT蜜罐。

如表1、图2所示，通过预先积累大量资产指纹规则，再基于通用的Web蜜罐系统，在HTTP的header或body填充类似的指纹信息，可误导BotNet等自动攻击程序，将蜜罐节点错误识别成要被攻击的目的设备。

2.3 IoT蜜罐设计

蜜罐是一种被密切监控的网络诱饵，用于吸引攻击者，从而为真实系统提供有关攻击类型与倾向的数据，同时通过分析被攻击过的蜜罐，深入剖析攻击者的行为。按可交互程度，蜜罐分低交互、中交互及高交互三类。因测量目标为BotNet而非人为攻击行为，所以在设计之初，权衡捕获能力、执行效率和运营便捷性，采用低交互式蜜罐设计形態，蜜罐架构设计如图3所示。

基于设备资产指纹基础设计实现IoT低交互式蜜罐系统HoneyCC，如图4所示。结构上采用Docker容器虚拟化技术，分别部署了SSH、Telnet和HTTP三种类型。其中HTTP蜜罐，复用1000种不同的设备指纹，包括华硕、D-Link、海康威视、TP-Link、小米、华为等主流物联网厂商，从而达到在一个独立IP上同时模拟多个设计的目的。得益于轻量级设计模式，HoneyCC可较容易分布式大量部署于互联网。

2.4 部署与运营

将HoneyCC蜜罐节点分布式部署于多个地区，数据中心部署于北京。通过不断更新迭代资产指纹规则，增强蜜罐捕获能力，半年内共捕获近4.3亿次攻击。这些攻击行为主要分两类：一是针对SSH及Telnet的用户名及密码爆破攻击；二是采用设备特定漏洞的PoC攻击。蜜罐协议端口使用情况如表2所示。

3 传播测量分析

对捕获的原始数据从源 IP、目的 IP、目的端口、Payload等多个维度展开分析，主要回答以下问题：哪些设备已被感染，归属是谁？哪些设备正被感染？哪些漏洞被用于攻击传播？哪些BotNet家庭最为活跃？

3.1 哪些设备已经被感染

测量时段内观测到有攻击行为的源IP累计共1417652个。这些IP分布于除南极洲外的所有大洲，有设备使用的地方就可能成为僵尸网络感染区域。

全球约31.85%被感染或曾被感染IP分布于中国大陆。排名前十的国家或地区分别为：中国451539个，巴西107748个，美国101091个，印度 82955个，伊朗66965个，俄罗斯51178个，越南39054个，印尼35725个，德国28129个，意大利26877个。我们使用IP地址库[3]，对运营商进行统计分析。

如表3所示，联通、电信等运营商占据多数，而Digitalocean、亚马逊云、阿里云失陷设备数量远小于电信运营商，基本符合Cetin[4]等人的分析结果。

利用Shodan和Censys的IP测绘数据对以上IP开展资产统计分析，结合设备资产指纹规则进行聚类及标签化处理。受限于被动的获取方式，部分已失陷IP缺失测绘数据，但已知数据也可反映一些问题。从表4来看，家用路由器（如MikroTik、华为、中兴、TP-Link）、视频监控（海康威视、雄迈、H264DVR、同为）这两类设备占失陷目标的绝大部分。

3.2 哪些目标正在被感染

通过对目标端口的统计，可直接观测到BotNet 感兴趣的协议和端口。在表5中，我们发现2222端口（SSH 协议）反而是其最感兴趣的目标端口，占总数的 26%，这表明某些设备开放了2222端口且使用了默认密码或弱口令。而22端口才是 SSH 协议的默认端口，2222端口只是部分设备的定制化端口。厂商更换默认端口往往是处于安全性考虑，但定制端口2222 反而也存在安全隐患。因此安全纵深防御尤其重要。在后续小结，我们对漏洞利用行为进行分析，可定位出部分受灾严重的厂商及其对应型号设备，这里不再展开。

3.3 哪些漏洞被用于攻击传播

从僵尸网络的传播方式观察，主要有两种方式：一是使用设备默认口令或弱口令进行爆破；二是针对特定设备利用漏洞攻击，获取目标设备的shell权限，加载恶意代码形成新的Bot。

3.3.1 弱口令攻击分析

因部分设备出厂存在默认口令，以及使用人员对安全密码的重视程度不够，弱口令问题是当前网络环境主要问题之一。而多数BotNet往往瞄准该问题进行Telnet及SSH弱口令爆破攻击，来达到传播目的。例如Mirai家庭及其变种在BotNet样本内部维护了一个弱口令密码库。在测量时段共发生弱口令爆破攻击290，746，997次。分别对爆破所使用用户和密码进行统计如表6所示。从结果看，root用户被使用的概率高居榜首，11.7％的爆破攻击使用了该用户。

3.3.2 常见漏洞利用分析

通过对蜜罐捕获的漏洞利用Payload进行分析，综合采用相似度匹配和聚类的方式，再经过人工审查，对具体的PoC进行分析。

因数据量过于庞大，首先分析周期为七天的IoT蜜罐收集的HTTP报文数据，经统计共有570多万条，但存在相同PoC多次打入蜜罐造成数据重复的情况，故先进行去重处理，去重后数据量为324356条。分析数据流所有有效字段发现仅有path、header、body三个可能含Payload，为有效识别Payload，先对每个字段进行分词，以正则匹配a-z、A-Z、0-9等可构成语义的有效词语，随后利用 N-gram 算法对提取结果进行扩充，再利用 Tf-idf 算法计算每个分词具体特征值。将三个字段的特征值进行拼接，得到一个完整报文的特征向量表示。之后利用Elbow方法[5]计算可聚类的最优簇数，利用K-means算法完成聚类。

表7最终整理出53种不同漏洞利用的Payload，占总数15.29％，仍有84.71％未识别出具体对应CVE或设备。但这部分数据也可反映一定程度问题。

3.4 哪些BotNet家族最活跃

测量期间累计捕获BotNet样本55435个，基于奇安信天穹动态沙箱将样本在相应虚拟环境里运行，同时捕获代码及其网络行为，共有8050个样本存在网络行为。通过该部分样本通信流量Pcap包和C2协议进行分拣，具体结果如表8所示，Mirai、Gafgyt及Mozi等家族表现最为活跃。

3.4.1 Mirai家族

Mirai是一款开源恶意软件，其感染Linux操作系统设备并利用被感染设备进行DDoS攻击。其感染对象以可访问网络的消费级电子设备为主，如网络监控摄像机和家庭路由器等。Mirai僵尸网络已参与数次影响广泛的大型DDoS攻击，如对法国网站托管商OVH的攻击，2016年10月Dyn公司网络攻击事件等。

2016年其源代码以开源形式发布至黑客论坛，其技术也已被其他一些恶意软件采用；基于其开源代码的变种不断出现又疯狂传播，影响不可小觑。

最初版的Mirai使用的是一组固定的默认登录名及密码组合凭证，对SSH及Telnet等常见服务进行爆破登录。仅凭64个众所周知的默认登录名及密码， Mirai就能感染60万个IoT设备。

3.4.2 Mozi家族

Mozi依赖DHT协议建立一个P2P网络。主要攻击指令包括：DDoS攻击、收集Bot信息、执行指定URL的Payload、执行系统或自定义命令。其主要通过 Telnet 弱口令和漏洞利用两种方式感染新设备，均使用半连接扫描。Telnet 弱口令扫描端口：23，2323， 50023，1023；漏洞利用扫描端口：81，8080，7574，49152，5555，8443，80，37215，52869，8008。默认搭载的Exploits包括：

⑴ Realtek SDK命令注入；

⑵ GPon Router命令注入；

⑶ Huawei Router HG532命令注入；

⑷ UPnP SOAP TelnetD命令注入；

⑸ CCTV/DVR远程代码执行；

⑹ JAWS Webserver命令注入；

⑺ Netgear setup.cgi未授权RCE；

⑻ Netgear cig-bin命令注入；

⑼ Vacron NVR远程代码执行；

⑽ Eir D1000 Wireless Router命令注入；

⑾ HNAP SOAPAction-Header命令注入。

3.4.3 Gafgyt家族

Gafgyt最早于2014年出现，2015年其源码被公开，后续引出大量变种（Bashlite、Qbot等）。该家族C&C服务器大多分布于北美和欧洲，且常集中于同一城区。其主要傳播端口包括80/HTTP、3074/TCP、30100/UDP、30000/UDP、30200/UDP 等。默认搭截的Exploits包括：

⑴ GPon Router命令注入；

⑵ AirLink101遠程代码执行；

⑶ 多个视频监控厂商远程代码执行；

⑷ D-Link路由器多个漏洞；

⑸ Huawei Router HG532命令注入；

⑹ JAWS未授权命令注入；

⑺ AVTECH视频监控未授权命令注入；

⑻ Vacron视频监控远程代码执行；

⑼ NNUO产品命令注入。

从漏洞清单来看，部分漏洞与表7中统计相符，如JAWS及AVTECH视频监控等产品漏洞。

3.5 Loader和C&C分析

统计时间段内，累计监控到僵尸网络样本下发 URL共569067条，涉及Loader（下发点）及C2 IP 363212个，域名1288个。图5下发点及C2 IP遍布五大洲，排名前五国家或地区分别为：中国9429个，英国7222个，伊朗5305个，俄罗斯4046个，印度2676个。国内下发点及C2 IP集中分布于东部人口稠密经济发达地区，排名前五省份分别为：河南3251个，山东 1563个，浙江1055个，江苏837个，安徽453个。

4 治理与防护建议

BotNet 已失陷设备的治理，需监管部门和运营商配合处理，作为后续实践工作不再展开赘述。

上文通过各个维度的测量研究，揭露了僵尸网络的传播方法及原理。因此站在普通用户的角度，针对 IoT BotNet的防护建议如下：

⑴ 检查家庭边界路由或光猫设备，关闭不需要暴露在公网的端口，同时可使用Shodan搜索引擎，检查出口IP是否存在资产暴露现象；

⑵ 定期及时更新所属的物联网设备固件，若设备更新已不被厂商支持，建议直接下线此类设备；

⑶ 设置加密强度更强的各类密码，包括Web管理员密码、SSH密码等，同时设备条件允许的话，SSH使用公私钥登录，关闭密码登录；

⑷ 定期重启设备，可以清除大部分不具有持久化功能的BotNet。

5 结束语

近年来随着物联网产业飞速发展，IoT僵尸网络规模日渐壮大，严重威胁工业生产及社会安全。本文设计了一套实用性强的分布式蜜罐系统，通过为期半年的大规模测量活动和多维度统计分析，揭露僵尸网络的传播原理和现网态势，最后给出针对性的防护和治理建议。本文得到奇安信星迹、司南、天穹等平台数据支撑。

参考文献（References）：

[1] Kambourakis G， Kolias C， Stavrou A. The mirai botnet and

the iot zombie armies[C]//MILCOM 2017-2017 IEEE Military Communications Conference （MILCOM）. IEEE， 2017：267-272.

[2] Feng X， Li Q， Wang H， et al. Acquisitional rule-based

engine for discovering internet-of-things devices[C]//27th {USENIX} Security Symposium （{USENIX} Security 18），2018：327-341.

[3] [IPIP.NET] IPv4地址库，2022. https：//www.ipip.net/.

[4] Çetin O， Ganán C， Altena L， et al. Cleaning Up the Internet

of Evil Things： Real-World Evidence on ISP and Consumer Efforts to Remove Mirai[C]//NDSS，2019.

[5] Syakur M A， Khotimah B K， Rochman E M S， et al.

Integration k-means clustering method and elbow method for identification of the best customer profile cluster[C]//IOP conference series： materials science and engineering. IOP Publishing，2018，336：012017.