Analysing the IOT threat landscape using consumer firmware-based, high fidelity honeypots

Abstract

Deze thesis bestudeert de staat van het IoT bedreigingslandschap in 2021-2022. Eerst werd er een literatuurstudie over IoT veiligheid en IoT malware gemaakt. Daarna werd een honeypot ontworpen, gebouwd en publiek gemaakt gebaseerd op best practices om relevante gegevens te verzamelen. De honeypot bevat meerdere types van apparaten die meerdere IoT services bezitten en gebruikmaken van relevante netwerkprotocollen. Enkele van deze honeypot apparaten zijn zeer geloofwaardig. Dit is mogelijk gemaakt door middel van firmware re-hosting. Deze techniek virtualiseert delen van een apparaat. Verschillende implementaties werden bestudeerd om de meest toepasselijke te kunnen gebruiken. Deze techniek en de implementaties ervan zijn echter niet perfect. Analyse van de resulterende gegevens toont dat praktisch alle malware geautomatiseerd is door gelijkenissen tussen apparaten met Linux-gebasseerde firmware te misbruiken. Verder is alle gezamelde malware gebaseerd op Mirai of Gafgyt, twee oudere malware families. Firmware re-hosting benodigd verder onderzoek en ontwikkeling zodat het bruikbaar wordt om een honeypot mee te bouwen.