Trong bối cảnh an ninh mạng phát triển nhanh chóng, các honeypot được hỗ trợ bởi mô hình ngôn ngữ lớn (LLM) ngày càng trở thành công cụ phức tạp để thu hút và phân tích các tác nhân đe dọa. Những hệ thống này đóng vai trò quan trọng trong việc thu thập threat intelligence, cung cấp cái nhìn sâu sắc về chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công.
Kiến trúc và Triển Khai Honeypot Dựa trên LLM
Một triển khai gần đây sử dụng Beelzebub, một framework honeypot mã thấp (low-code), đã minh họa cách các hệ thống này có thể mô phỏng dịch vụ SSH dễ bị tổn thương để ghi lại các hoạt động độc hại theo thời gian thực.
Thiết Lập Đơn Giản với Beelzebub
Với Beelzebub, các nhà phòng thủ có thể mô phỏng một môi trường SSH tương tác được hỗ trợ bởi các LLM như OpenAI’s GPT-4o hoặc các lựa chọn thay thế như Llama.
Quá trình thiết lập tối giản, chỉ yêu cầu cấu hình một tệp YAML duy nhất. Điều này cho phép honeypot phản hồi động các lệnh, bắt chước một máy chủ Linux hợp lệ với các đầu ra đáng tin cậy như phiên bản kernel, số liệu thống kê thời gian hoạt động (uptime), và số lượng quy trình.
Hệ thống đánh lừa kẻ tấn công, khiến chúng tiết lộ các TTPs chi tiết. Quá trình triển khai bao gồm:
- Nhân bản các kho lưu trữ ví dụ (example repositories).
- Chỉnh sửa các tham số cấu hình, bao gồm khóa API.
- Khởi chạy bằng Docker Compose.
Ví dụ, honeypot đã được điều chỉnh để chấp nhận các thông tin đăng nhập yếu cụ thể, chẳng hạn như “admin/123456”, và thực thi các khoảng thời gian chờ để quản lý thời lượng tương tác.
Điều này đảm bảo mức độ phơi nhiễm được kiểm soát trong khi vẫn thu thập được dữ liệu pháp y quan trọng, góp phần vào nguồn threat intelligence hiệu quả.
Phân Tích Phiên Tấn Công Mạng Thực Tế Bị Bắt Giữ
Phân tích một phiên bị bắt giữ từ địa chỉ IP 45.175.100.69 đã chứng minh hiệu quả của honeypot trong việc phơi bày các hoạt động phân phối mã độc và cơ sở hạ tầng chỉ huy và kiểm soát (C2).
Hành Trình của Tác Nhân Đe Dọa
Tác nhân đe dọa, đã xác thực với tài khoản “admin” và mật khẩu “123456”, bắt đầu một chuỗi lệnh trinh sát hệ thống.
Các lệnh này bao gồm “uname -a”, “uptime”, và “nproc”. Honeypot đã cung cấp các phản hồi hợp lý từ LLM để duy trì ảo ảnh về một máy chủ Ubuntu đã bị xâm nhập.
uname -a
uptime
nprocCác hành động tiếp theo liên quan đến việc điều hướng đến các thư mục tạm thời, tải xuống một backdoor dựa trên Perl có tên “sshd” từ một trang Joomla CMS bị xâm nhập tại deep-fm.de, và cố gắng thực thi.
Honeypot đã mô phỏng các lỗi từ chối quyền truy cập để kéo dài thời gian tương tác của kẻ tấn công.
Khám Phá Các Thành Phần Botnet
Kẻ tấn công sau đó đã tải xuống một tệp lưu trữ “emech.tar.gz” chứa các thành phần botnet, bao gồm các script cài đặt, tệp nhị phân và thư viện.
Chúng đã giải nén và thao tác với các thành phần này trước khi chuyển sang một thư mục khác để tải xuống lặp lại và thực hiện các hoạt động chmod, thậm chí cố gắng sử dụng sudo nhưng bị từ chối một cách khéo léo.
Chi Tiết Kỹ Thuật về Backdoor và Cơ Chế C2
Phân tích sâu hơn cho thấy script “sshd” là một backdoor điều khiển qua IRC (Internet Relay Chat) nhằm tạo điều kiện cho thực thi lệnh từ xa (Remote Code Execution – RCE) và các cuộc tấn công từ chối dịch vụ (Denial-of-Service – DoS).
Hoạt Động của PerlBot v2.0
Backdoor này được cấu hình để kết nối với Undernet’s ix1.undernet.org trên cổng 6667, với các kênh như #rootbox và #c0d3rs-TeaM đóng vai trò là trung tâm C2.
Phân tích mã nguồn đã phát hiện các tham số như tối đa tám kết nối đồng thời, khoảng thời gian ngủ để né tránh, và các tên admin như “warlock`”, chỉ ra một biến thể của PerlBot v2.0 nhắm mục tiêu vào các thư mục tạm thời để duy trì quyền truy cập (persistence).
Chỉ Số Đánh Cắp (IOCs)
Dựa trên phiên bị bắt giữ, các chỉ số đánh cắp (IOCs) chính được xác định bao gồm:
- Địa chỉ IP của tác nhân: 45.175.100.69
- Thông tin đăng nhập bị khai thác: admin/123456
- URL tải xuống mã độc: deep-fm.de (tải xuống “sshd” Perl backdoor)
- Tên tệp mã độc: sshd (Perl backdoor), emech.tar.gz (botnet components)
- Máy chủ C2: ix1.undernet.org
- Cổng C2: 6667
- Kênh C2 IRC: #rootbox, #c0d3rs-TeaM
- Biến thể mã độc: PerlBot v2.0
Đối Phó và Tầm Quan Trọng của LLM Honeypot trong Bảo Mật Mạng
Theo báo cáo từ Beelzebub, bằng cách xâm nhập vào các kênh C2 này, các nhà điều tra đã quan sát được các tương tác trực tiếp giữa tác nhân và các node bị nhiễm, nhấn mạnh sự phụ thuộc của botnet vào IRC công cộng để phối hợp hoạt động. Bạn có thể tìm hiểu thêm về việc triển khai honeypot này tại Beelzebub Honeypot Blog.
Chiến Lược Giảm Thiểu Hiệu Quả
Thông tin tình báo này đã cho phép thực hiện các biện pháp giảm thiểu nhanh chóng: báo cáo các kênh này cho quản trị viên của Undernet đã làm gián đoạn C2 một cách hiệu quả. Điều này minh họa một chiến lược ít tốn công sức để phá vỡ các mạng botnet như vậy.
Việc này cho thấy giá trị thực tiễn của việc thu thập threat intelligence thông qua honeypot. Việc phối hợp với các tổ chức như Undernet (Undernet.org) là rất quan trọng để vô hiệu hóa các mối đe dọa.
Vai Trò Chủ Động của LLM Honeypot
Sự cố này nhấn mạnh vai trò của LLM honeypot trong việc săn lùng mối đe dọa một cách chủ động, biến các mồi nhử thụ động thành các nền tảng tình báo chủ động.
Chúng không chỉ ghi lại các cuộc tấn công mà còn khai thác các thông tin về exploit và các tệp nhị phân.
Bằng cách mô phỏng các phản hồi thực tế, các hệ thống này có thể kéo dài thời gian tồn tại của kẻ tấn công trong môi trường giả lập, mang lại cái nhìn sâu sắc hơn vào hệ sinh thái mã độc mà không gây rủi ro cho cơ sở hạ tầng thực tế.
Khi các mối đe dọa ngày càng trở nên tự động hóa, việc tích hợp các lớp lừa đảo dựa trên AI có thể trở thành tiêu chuẩn trong các kho vũ khí phòng thủ. Điều này có thể thay đổi cán cân về phía phát hiện sớm và vô hiệu hóa các botnet và chuỗi khai thác.
Đây là một bước tiến quan trọng trong việc tăng cường khả năng threat intelligence và phòng thủ tổng thể.
