Analyzing the IoT Threat Landscape Within University Network Environments Using Honeypots
Master thesis
Permanent lenke
https://hdl.handle.net/11250/2781166Utgivelsesdato
2020Metadata
Vis full innførselSamlinger
Sammendrag
Tingenes internett (IoT) har blitt essensielt innen flere områder i samfunnet, inkludert utdanningssektoren. Imidlertid mangler mange av dagens IoT-enheter tilstrekkelige sikkerhetsmekanismer, og har derfor blitt et lukrativt mål for hackere.
I denne masteroppgaven undersøker vi trussellandskapet knyttet til IoT i to ulike nettverksmiljøer på NTNU for å studere forskjeller i angrepstrafikk. Vi tar for oss IoT-enheter som bruker Telnet og SSH, og fokuserer på hvordan disse enhetene blir penetrert og infisert, og hvilke skadelige programvarer som blir brukt i angrep. En kombinasjon av honeypots med lav og medium interaksjon, mer spesifikt Telnet-IoT-Honeypot og Cowrie, ble brukt i eksperimentet vårt til å samle datagrunnlag for videre analyse. Seks honeypots implementert på hver sin Raspberry Pi ble utplassert på NTNU sine nettverk, hvor tre av disse ble koblet til det interne nettverket og tre til det offentlige nettverket. Honeypotene var tilkoblet i fire uker.
Analysen vår avdekker at honeypotene koblet til NTNU sitt interne nettverk ikke ble angrepet i løpet av eksperimentets driftsperiode. Derimot viser resultatene at IoT-enheter tilkoblet det offentlige nettverket er populære mål for rekruttering til større botnet, og at det offentlige nettverket dermed står overfor en høyere sikkerhetsrisiko. Den mest brukte metoden for penetrering var uautorisert adgang gjennom bruk av svake og standardiserte brukernavn og passord. Mesteparten av angrepene var automatiserte, der flere av dem inkluderte identiske kommandosekvenser samt svært kort sesjonsvarighet. Skadevare forbundet med distribuert tjenestenektangrep (DDoS) dominerte blant observerte angrep mot honeypotene på det offentlige nettverket. For Telnet var Mirai den mest populære skadevare-familien, mens mindre utbredt DDoS-relatert skadevare rettet seg mot SSH.
Avslutningsvis understreker vår studie viktigheten av korrekt håndtering av internett-tilkoblede enheter ved å diskutere implikasjoner for universitetet. I tillegg presenterer vi noen anbefalinger basert på konklusjonene fra analysen vår, som kan bidra til å øke sikkerheten rundt IoT-enheter. The Internet of Things (IoT) is benefiting several areas of society, including the education sector. However, the rapidly growing presence of poorly protected IoT devices has become a lucrative playground for cybercriminals.
This thesis sets out to investigate the IoT threat landscape within two network environments at NTNU, to establish differences in malicious traffic. We focus on IoT devices running the Telnet service and the SSH service, specifically on how these devices are penetrated and infected, and what malware targets them. The experiment includes a combination of Low and Medium Interaction Honeypots, specifically Telnet-IoT-Honeypot and Cowrie, to collect malicious data for further analysis. In total, six honeypots implemented on individual Raspberry Pis were deployed within the university network, three within the internal network and three within the public network. The honeypots were deployed for a period of four weeks.
The analysis reveals that the honeypots on the internal network did not receive any attacks during the operating period of the experiment. In addition, our results show that IoT devices connected to the public university network were popular targets for recruitment into botnets through unauthorized access using default and weak credentials. Hence, the public university network faces a higher security risk. The most common attacks were found to be automated, with similar command sequences and short session duration. Distributed Denial of Service (DDoS) related malware types were dominating among the malware targeting these IoT devices. Mirai was the most prevalent malware family utilizing the Telnet service, while less widespread DDoS related malware targeted the SSH service.
Conclusively, this study emphasizes the importance of proper administration of IoT devices by discussing implications for the university. Moreover, some best practice recommendations have been formulated based on conclusions from our analysis.