IoT-Home-Guard – это проект, помогающий людям обнаруживать вредоносные программы на устройствах «умного дома».
Для пользователей проект может помочь обнаружить скомпрометированные устройства умного дома.
Для исследователей безопасности это также полезно для анализа сети и обнаружения вредоносных действий.
Сообщение разработчиков
В июле 2018 года мы завершили первую версию. Мы завершим вторую версию к октябрю 2018 года с улучшением пользовательского опыта и увеличением количества идентифицируемых устройств.
Первое поколение представляет собой аппаратное устройство на базе Raspberry Pi с контроллерами беспроводного сетевого интерфейса. Мы будем настраивать новое оборудование во втором поколении. Система может быть настроена с помощью программного обеспечения на ноутбуках после необходимой конфигурации среды. Программная часть доступна в software_tools /.
Подход основан на обнаружении вредоносного сетевого трафика.
Внедренные на устройство вредоносные программы будут связываться с удаленным сервером, запускать удаленную оболочку или отправлять аудио / видео на сервер.
На приведенной ниже диаграмме показан сетевой трафик устройства, на котором внедрены вредоносные программы.
- Красная линия: трафик между устройствами и удаленным шпионским сервером.
- Зеленая линия: нормальный трафик устройств.
- Черная линия: сумма трафика TCP.
Модули
- Модуль AP и ловушка потока данных: перехватывает сетевой трафик.
- Механизм анализа трафика: извлечение характеристик из сетевого трафика и сравнение их с базой данных отпечатков устройства.
- База данных отпечатков устройств: нормальное сетевое поведение каждого устройства на основе белого списка. Вызов https://ti.360.net/
- Веб-сервер: во втором поколении может быть веб-сервер.
Технологический процесс
___________________ ___________________
| | | |
| data_flow_catcher |<----| devices connected |
|___________________| |___________________|
¦
¦
____________________________ ____↓________________
| | | |
| device_fingerprint_databse |<---------> | flow_analyze_engine |
|____________________________| ¦ |_____________________|
¦ ↑
¦ ¦
__________________________________ ¦ ____↓_______ _________________
| | ¦ | | | |
| 360 threat intelligence database |<- | web_server |<-----------| user interfaces |
|__________________________________| |____________| |_________________|
Инструмент работает как точка доступа, подключенная вручную с тестируемыми устройствами, отправляет сетевой трафик в механизм анализа трафика для извлечения характеристик.
Механизм анализа трафика сравнивает характеристики с записями в базе данных отпечатков устройства, чтобы определить тип устройства и подозрительное сетевое соединение.
База данных отпечатков устройства представляет собой набор нормального поведения каждого устройства на основе белого списка.
Кроме того, в базе данных разведки угроз Qihoo 360 будут обнаружены характеристики для выявления вредоносных действий.
Веб-сервер настроен на пользовательский интерфейс.
Эффективность
В исследовании разработчики успешно внедрили трояны в восемь устройств, включая интеллектуальные колонки, камеры, записывающие устройства и мобильные трансляторы с помощью IoT-Implant-Toolkit.
Демо-видео ниже: