Measurement and Analysis of Hajime, a Peer-to-peer IoT Botnet

2019-03-26 64 Words 论文 Botnet

Measurement and Analysis of Hajime, a Peer-to-peer IoT Botnet

Stephen Herwig, Katura Harvey, George Hughey, Richard Roberts, Dave Levin

Network and Distrubuted Systems Security(NDSS) Symposium 2019

这篇文章主要介绍了作者近距离的观察了一个基于 P2P 协议的物联网僵尸网络。该网络目前没有发动过攻击的记录。

文章指出,该网络与其他僵尸网络的有一下显著特征:

  1. 并非传统中心化 command-and-control(C&C)网络,而是分布式的。
  2. 对于多种物联网芯片架构有着广泛的支持:mips、arm等

文章中说:该网络的卓越之处不在于其已经发生的攻击,而在于其让研究人员深刻的认识到了物联网设备的脆弱性。

论文中主要有如下发现:

  1. 物联网特征使得僵尸网络的规模变得很大(超过 95000 活跃机器)
  2. 各种 CPU 架构都容易遭受攻击。但是架构的分布与国家有明显相关性(美国感染设备大部分是 arm5 架构,而巴西则主要是 mips 设备。
  3. 设备的平均在线时间大约是 5 小时,其暗示物联网设备会经常性重启和重新感染。
  4. 物联网僵尸网络传播速度极快。

历程

论文观察到了僵尸网络的多次更新,这些更新常常伴随着新的漏洞的利用,导致大量新设备的感染。僵尸网络通过 uTP 协议对更新进行广播,每次更新后,可以观测程序更新迅速在网络中传播。

其他特性

论文观察了僵尸网络大小变化、感染设备寿命、地理位置分布、设备架构、攻击频率等性质。

有趣的是,文中指出中国广泛存在多个设备公用一个IP(暗示 nat 的使用),而巴西则同一个设备分配了多个 IP 地址。IP地址分配不均匀非常显著!

结论

Hajime 作为新的超大物联网僵尸网络,其规模已经 incredibly(豆豆口气)的大,地理分布广泛,且高可靠。研究该僵尸网络有助于观察互联网的各种特征。