IoT-Home-Guard:一款可检测物联网设备中恶意行为的工具
source link: https://www.freebuf.com/articles/terminal/198163.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
本文介绍一款名叫IoT-Home-Guard的安全检测工具,广大研究人员可使用该工具来检测物联网设备中的恶意行为。
IoT-Home-Guard
IoT-Home-Guard这款软件不仅可以帮助用户发现智能家居设备/物联网设备中的恶意软件,而且还可以帮助检测已被入侵的智能家居设备。对于安全研究人员来说,它还可以进行网络分析和恶意行为检测。
2018年7月份,我们发布了该工具的第一个版本,并在2018年10月份完成了第二个版本的开发,新版本大幅提升了用户体验度,并增加了可识别设备的数量及种类。
第一代IoT-Home-Guard是一款基于树莓派(带有无线网络接口控制器)开发的硬件设备,我们在第二代IoT-Home-Guard上使用了全新的自定义固件,并支持在笔记本上进行环境配置,相关软件可在项目目录的software_tools/文件夹中找到。
工作机制
该工具主要通过检测恶意网络流量来进行恶意行为的扫描与发现。植入了恶意软件的设备会尝试与远程服务器进行通信,并触发远程Shell或向服务器发送音频/视频。
下图显示的是一款植入了数据嗅探型恶意软件的网络流量情况:
红线:设备与恶意远程服务器之间的通信流量;
绿线:设备的正常通信流量;
黑线:TCP流量总和
功能模块
1、 AP模块和数据流捕捉模块:捕捉网络通信流量;
2、 流量分析引擎:从网络流量中提取特征,并与设备指纹数据库进行比对;
3、 设备指纹数据库:存储了每一种设备正常的网络行为,该模块基于白名单实现,可调用360威胁情报数据库( https://ti.360.net/ );
4、 Web服务器:第二代中引入了Web服务器
工作流程图
工具演示
在我们的研究过程中,我们利用IoT-Implant-Toolkit(可查看Freebuf针对该工具的介绍文档)成功在八台设备上植入了木马,其中包括智能扬声器、摄像头、行车记录仪和移动翻译器等等。
我们收集到了这些设备的特征信息,然后运行IoT-Home-Guard,最终成功检测到了所有设备上植入的木马。我们认为,以这样的方式来检测目标设备中的恶意行为,再配合上恶意特征数据库的话,检测准确率会非常高。
软件安装与使用
搭建环境:
git clone https://github.com/arthastang/IoT-Home-Guard cd IoT-Home-Guard/software_tools/ python setup.py install
你可以使用下列命令来检测目标设备是否已被植入了木马:
./IoT-Home-Guard.py
运行下列命令搭建Web服务器(使用8080端口):
./homeguard
运行截图
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK