NOTÍCIAS

[ANONYMOUS][grids]

IoT-Home-Guard - A Tool For Malicious Behavior Detection In IoT Devices

 IoT-Home-Guard é um projeto para ajudar as pessoas a descobrirem malware em dispositivos domésticos inteligentes.
Para os usuários, o projeto pode ajudar a detectar dispositivos domésticos inteligentes comprometidos. Para os pesquisadores de segurança, também é útil na análise de rede e detecção de comportamentos maliciosos.
Em julho de 2018, completamos a primeira versão. Completaremos a segunda versão até outubro de 2018 com melhoria da experiência do usuário e aumento do número de dispositivos identificáveis.
A primeira geração é um dispositivo de hardware baseado no Raspberry Pi com controladores de interface de rede sem fio. Vamos personalizar o novo hardware na segunda geração. O sistema pode ser configurado com parte de software em laptops após a configuração do ambiente essencial. A parte do software está disponível em software_tools /.



Prova de princípio
Nossa abordagem é baseada na detecção de tráfego de rede mal-intencionado. Um dispositivo implantado malwares irá se comunicar com o servidor remoto, acionar um shell remoto ou enviar áudios / vídeos para o servidor. 
O gráfico abaixo mostra o tráfego de rede de um dispositivo que implantou malwares snooping. 
Linha vermelha: tráfego entre dispositivos e um servidor espião remoto. 
Linha Verde: tráfego normal de dispositivos. 
Linha preta: soma do tráfego TCP.

IoT-Home-Guard - A Tool For Malicious Behavior Detection In IoT Devices

Módulos
  1. Módulo AP e coletor de fluxo de dados: captura o tráfego de rede.
  2. Mecanismo de análise de tráfego: Extraia as características do tráfego de rede e compare-as com o banco de dados de impressão digital do dispositivo .
  3. Banco de dados de impressão digital do dispositivo : Comportamentos normais de rede de cada dispositivo, com base na lista de permissões. Chame APIs do banco de dados de 360 ameaças e inteligência ( https://ti.360.net/ ).
  4. Servidor da Web: pode haver um servidor da Web na segunda geração.

Procedimento
                                           ___________________       ___________________
                                          |                   |     |                   |
                                          | data_flow_catcher |<----| devices connected |
                                          |___________________|     |___________________|
                                               ¦
                                               ¦
 ____________________________              ____↓________________  
|                            |            |                     |
| device_fingerprint_databse |<---------> | flow_analyze_engine |
|____________________________|       ¦    |_____________________|
                                     ¦         ↑
                                     ¦         ¦
 __________________________________  ¦     ____↓_______              _________________
|                                  | ¦    |            |            |                 |
| 360 threat intelligence database |<-    | web_server |<-----------| user interfaces |
|__________________________________|      |____________|            |_________________|
A ferramenta funciona como um Access Point, conectado manualmente por dispositivos em teste, envia tráfego de rede para o tráfego analisando o motor para extração de características. O mecanismo de análise de tráfego compara características com entradas no banco de dados de impressão digital do dispositivo para reconhecer o tipo de dispositivo e a conexão de rede suspeita. O banco de dados de impressão digital do dispositivo é uma coleta de comportamentos normais de cada dispositivo com base na lista de permissões. Além disso, as características serão pesquisadas no banco de dados de inteligência de ameaças do Qihoo 360 para identificar comportamentos maliciosos. Um servidor da web é configurado como interfaces do usuário. 

Eficácia
Em nossa pesquisa, implantamos cavalos de Tróia em oito dispositivos, incluindo alto-falantes inteligentes, câmeras, gravadores de direção e tradutores móveis com o IoT-Implant-Toolkit. 
Um vídeo de demonstração abaixo:


IoT-Home-Guard - A Tool For Malicious Behavior Detection In IoT Devices

Coletamos as características desses dispositivos e executamos o IoT-Home-Guard. Todos os dispositivos implantados em Trojans foram detectados. Acreditamos que comportamentos maliciosos de mais dispositivos podem ser identificados com alta precisão após o suplemento do banco de dados de impressões digitais.