📱 IoT-Home-Guard — инструмент для обнаружения вредоносного поведения в устройствах IoT — Information Security Squad

📱 IoT-Home-Guard — инструмент для обнаружения вредоносного поведения в устройствах IoT

IoT-Home-Guard — это проект, помогающий людям обнаруживать вредоносные программы на устройствах «умного дома».

Для пользователей проект может помочь обнаружить скомпрометированные устройства умного дома.

Для исследователей безопасности это также полезно для анализа сети и обнаружения вредоносных действий.

Сообщение разработчиков

В июле 2018 года мы завершили первую версию. Мы завершим вторую версию к октябрю 2018 года с улучшением пользовательского опыта и увеличением количества идентифицируемых устройств.
Первое поколение представляет собой аппаратное устройство на базе Raspberry Pi с контроллерами беспроводного сетевого интерфейса. Мы будем настраивать новое оборудование во втором поколении. Система может быть настроена с помощью программного обеспечения на ноутбуках после необходимой конфигурации среды. Программная часть доступна в software_tools /.

Подход основан на обнаружении вредоносного сетевого трафика.

Внедренные на устройство вредоносные программы будут связываться с удаленным сервером, запускать удаленную оболочку или отправлять аудио / видео на сервер.

На приведенной ниже диаграмме показан сетевой трафик устройства, на котором внедрены вредоносные программы.

  • Красная линия: трафик между устройствами и удаленным шпионским сервером.
  • Зеленая линия: нормальный трафик устройств.
  • Черная линия: сумма трафика TCP.

Модули

  • Модуль AP и ловушка потока данных: перехватывает сетевой трафик.
  • Механизм анализа трафика: извлечение характеристик из сетевого трафика и сравнение их с базой данных отпечатков устройства.
  • База данных отпечатков устройств: нормальное сетевое поведение каждого устройства на основе белого списка. Вызов https://ti.360.net/
  • Веб-сервер: во втором поколении может быть веб-сервер.

Технологический процесс

                                           ___________________       ___________________
                                          |                   |     |                   |
                                          | data_flow_catcher |<----| devices connected |
                                          |___________________|     |___________________|
                                               ¦
                                               ¦
 ____________________________              ____↓________________  
|                            |            |                     |
| device_fingerprint_databse |<---------> | flow_analyze_engine |
|____________________________|       ¦    |_____________________|
                                     ¦         ↑
                                     ¦         ¦
 __________________________________  ¦     ____↓_______              _________________
|                                  | ¦    |            |            |                 |
| 360 threat intelligence database |<-    | web_server |<-----------| user interfaces |
|__________________________________|      |____________|            |_________________|

Инструмент работает как точка доступа, подключенная вручную с тестируемыми устройствами, отправляет сетевой трафик в механизм анализа трафика для извлечения характеристик.

Механизм анализа трафика сравнивает характеристики с записями в базе данных отпечатков устройства, чтобы определить тип устройства и подозрительное сетевое соединение.

База данных отпечатков устройства представляет собой набор нормального поведения каждого устройства на основе белого списка.

Кроме того, в базе данных разведки угроз Qihoo 360 будут обнаружены характеристики для выявления вредоносных действий.

Веб-сервер настроен на пользовательский интерфейс.

Эффективность

В исследовании разработчики успешно внедрили трояны в восемь устройств, включая интеллектуальные колонки, камеры, записывающие устройства и мобильные трансляторы с помощью IoT-Implant-Toolkit.

Демо-видео ниже:

 

Они собрали характеристики этих устройств и запустили IoT-Home-Guard.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40