发现攻击者之间的连接

在过去的几年中,澳大利亚IT公司Security Dimension的创始人Pedram Hayati一直在开发一种称为Smart Honeypot的定制蜜罐智能系统。

蜜罐–伪造的系统看起来像真实的东西– can be used for many different purposes. One of these is to determine what attackers are after, their capabilities and the tactics they use to achieve their goals, and this is why Hayati set up thirteen Smart 蜜罐in different geographic regions of Amazon Web Services and Google Cloud (America, Europe, Asia and Oceania).

“所有主机都是相同的,就像是一台典型的服务器,在实验过程中,它们的IP地址未发布,”他向观众解释 骇客盒子会议 在阿姆斯特丹。有趣的是,即使如此,攻击者平均花费不到十分钟的时间即可找到它们并将它们作为目标。

他将实验仅限于SSH服务–其他网络服务被禁用。

他最终将针对云主机的攻击者分为三类:暴力攻击者(机器人),感染者和指挥官。



前者专注于强行强迫主人。一些机器人在所有蜜罐上仅尝试了一种用户名/密码组合,而其他机器人则尝试了一组组合,这些组合显然是根据公开的密码列表进行编译的。大多数尝试都是针对“root” and “admin” accounts.

如果蛮力派遣者成功地确定了正确的组合,他们将撤退。然后,来自新IP地址的新攻击者将到达并使用相同的组合向主机进行身份验证。

这些攻击者– Infectors –然后会尝试通过使用恶意脚本或二进制文件来感染主机,并试图尽可能隐藏它们。一旦恶意软件运行,它们也将撤退。

恶意软件会启动与C的连接&C服务器,由指挥官掌握,谁’然后可以将远程命令发送到主机–例如,发起DoS攻击。

Hayati使用网络理论来识别相似攻击者的组以及它们之间的联系,他发现:

  • 大多数攻击源自每个地理区域的唯一来源(而且’为什么黑名单不起作用)
  • 暴力者多于感染者
  • 目标最明确的蜜罐(主机)是已知云提供商中的蜜罐’ IP ranges
  • 大多数攻击源自少数网络提供商。

在一次特殊的攻击中,他注意到暴力破解者的IP地址归一家香港公司所有,而感染者的IP地址则属于六家美国公司。

这导致他认为感染者(美国)在香港购买了一个僵尸网络以进行暴力破解,并在受感染主机上分发了恶意软件。或将被感染主机的列表交易到Infectors(US)进行恶意软件分发。

暴力攻击与感染者发起的攻击之间存在长达一周的差距,这一事实使他相信后一种理论是正确的。

这表明暴力分子,感染者和指挥官不是一个犯罪集团的成员。每个小组都是专门的并且自己为自己工作:暴力者将其服务和赃物卖给感染者,感染者卖给司令员(僵尸网络的主人),然后司令员向出价最高的人提供DoS和垃圾邮件服务。

有关Hayati的更多详细信息 ’的研究,你可以看看这个 .

分享这个