制御サーバへの接続性に着目したIoTボットネットの解析

書誌事項

タイトル別名
  • Analysis of IoT Botnet Focused on the Connectivity to Control Servers

抄録

IoT機器が急速に普及している一方で,攻撃者はセキュリティに問題のあるIoT機器をマルウェア感染させている.また,感染した機器により構成されるIoTボットネットは,DDoS攻撃やマイニング,機器の破壊を行うなどインターネット上の脅威となっている.そのようなIoTボットネットの対策を考える上で,IoTマルウェアがダウンロードされるサーバや感染機器を制御するサーバの特徴を把握することは重要である.本研究では,インターネット上に公開したIoTハニーポットの観測結果を用いて,IoTボットネットの制御インフラを解析する.実験の結果,観測されたボットネットの大部分において,IoTマルウェアは制御サーバ情報を1つしか持たず,制御サーバの生存期間が短命であることから,IoTボットネットの多くは使い捨てであることがわかった.その一方で,一部のIoTボットネットがWindowsボットネットで使われていたIP Flux等の検知回避手法を用いるなど,堅牢なインフラを構成し始めたこともわかった.そこで,IoTボットネットの特徴とその対策について考察を行った.

While IoT devices are rapidly spreading, attackers infect insecure IoT devices with malware. IoT botnets composed of these infected IoT devices have become threats on the Internet conducting various attacks such as record-breaking DDoS attacks by Mirai. For conducting efficient countermeasures, it is important to grasp the characteristics of the malware download servers and Command and Control (C&C) servers. In this paper, we study the control infrastructure of IoT botnet by capturing malware binaries using IoT honeypot and analyzing them with malware sandbox. As a result, we found that most of the analyzed IoT malware binaries contain minimum information to connect their C&C servers whose active period is also very short. Therefore, most of the observed IoT botnets are short-lived and used in disposable manner. However, we note that it is found that a few IoT botnets began to adopt similar techniques used by Windows botnets to construct a robust infrastructure. We then discuss countermeasures.

収録刊行物

詳細情報 詳細情報について

  • CRID
    1050574047106010752
  • NII論文ID
    170000181154
  • Web Site
    http://id.nii.ac.jp/1001/00201383/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ