100 小時內的駭客攻擊蜜罐:一場令人驚嘆的觀察
研究概述
根據 TechCrunch 報道,兩名安全研究人員透過設定了多臺 Windows 伺服器作爲蜜罐,成功地觀察到了駭客攻擊的全過程。這些伺服器透過遠端桌面協議(Remote Desktop Protocol, RDP)對外開放,駭客可以遠端控制並對其進行各種操作。研究人員透過蜜罐記錄下了 1.9 億事件和 100 小時的影片素材,其中包括駭客的偵查行動、安裝加密貨幣挖礦惡意軟體、使用安卓模擬器進行點選欺詐、強制破解其他計算機的密碼、使用蜜罐作爲攻擊起點來掩蓋駭客身份,甚至瀏覽色情內容。研究人員表示駭客成功登陸蜜罐後可以產生數十個事件。這項研究的結果在拉斯維加斯的 Black Hat 網路安全大會上公布。駭客分類及特點
根據研究人員的說法,他們將駭客分爲不同型別,並採用了《龍與地下城》(Dungeons and Dragons)的角色設定進行分類。 - "遊俠":這些駭客小心翼翼地探索被攻陷的計算機,進行偵查,有時會更改密碼,但通常不深入幹預。研究人員假設他們對進入的系統進行評估,以便其他駭客能夠在稍後時間再次登入。 - "野蠻人":這類駭客利用被攻陷的蜜罐計算機嘗試透過已知的駭客使用者名和密碼列表強制進入其他計算機。研究人員稱他們有時使用 Masscan 等工具掃描整個網際網路的開放埠。 - "法師":這些駭客利用蜜罐作爲平臺,存取其他計算機,試圖隱藏攻擊的痕跡和真正的來源。研究人員稱,防御團隊可以從這類駭客獲取威脅情報,並"深入剖析受攻擊基礎設施"。 - "盜賊":這類駭客的明確目標是將對蜜罐的存取權變現。他們可能透過安裝加密貨幣挖礦軟體、進行點選欺詐或者產生對自己控制的網站的虛假流量來實現這一目標。此外他們可能還會向其他駭客出售對蜜罐的存取權。 - "吟遊詩人":這類駭客技術水平非常低下,甚至幾乎沒有技術。這些駭客利用蜜罐使用 Google 搜尋惡意軟體,甚至觀看色情內容。他們有時使用手機而不是桌上型電腦或膝上型電腦存取蜜罐。研究人員表示這類駭客有時會使用被攻陷的計算機下載色情內容,因爲色情內容在他們所在的國家可能被禁止或受到審查。研究結論及建議
研究人員認爲,觀察駭客與蜜罐進行互動的這一研究對於他們以及執法部門和網路安全防御團隊(藍隊)都非常有用。研究人員在部落格文章中寫道:"執法部門可以合法地攔截勒索軟體團夥使用的 RDP 環境,並在記錄的會話中收集情報,用於調查。藍隊則可以使用這些威脅追蹤的訊息,部署自己的陷阱,進一步保護組織,因爲這將使他們理解到機會主義攻擊者的技術手法"。 此外如果駭客開始懷疑它們攻陷的伺服器可能是蜜罐,它們將不得不改變策略,並決定是否值得冒着被發現的風險,"這將導致減緩攻擊的速度,最終對所有人都有利",研究人員表示。結論
透過觀察駭客與蜜罐的互動,研究人員取得了令人驚嘆的成果,並從中獲得了豐富的情報。這項研究爲執法部門和網路安全防御團隊提供了寶貴的資源,幫助他們深入理解威脅,並採取更有效的措施來保護組織和使用者的安全。在不斷進化的網路攻擊環境下,這種觀察駭客行動的能力將變得越來越重要。同時對於駭客來說意識到自己可能攻陷了蜜罐會迫使他們改變策略,減緩攻擊速度,從長遠來看,這對於網路安全產生了積極的影響。 綜上所述,這項研究對網路安全領域具有重要意義,並爲我們提供了更深入的理解,如何透過觀察駭客行動來保護我們的網路安全。cybersecurity-駭客攻擊,蜜罐電腦,研究,觀察,安全
延伸閱讀
- 醫療保健公司 WebTPA 披露侵害 250 萬人的資料洩露事件
- 蘋果 AI 計劃揭祕:從財報中學到的三件事
- 美國 NASA 向私人太空公司訂購研究,探討火星任務支援角色
- 美國聯合健康集團 CEO 表示:“也許三分之一的美國公民受到最近的駭客攻擊影響”
- 微軟選擇與 Sanctuary AI 合作進行通用機器人研究
- 聯合健康執行長告訴參議院:在遭受駭客攻擊後,所有系統皆現已擁有多重身分取證
- 前 Snap 研究人員正在利用人工智慧打造下一代 Bitmoji - 輕鬆創作個人化貼圖
- 駭客威脅公開大量的被盜制裁和金融犯罪監視名單
- 駭客竊取了政府諮詢公司的 34 萬名社會安全號碼
- 歐盟與美國宣布共同合作,致力於人工智慧安全、標準與研發
