Các SSH honeypots, một công cụ quan trọng trong phòng thủ mạng, có thể bỏ sót phần lớn hoạt động của kẻ tấn công sau khi đăng nhập. Nghiên cứu mới đã thách thức các giả định lâu đời về công nghệ đánh lừa.
Nghiên cứu về Tấn công SSH Phi Tương tác
Một nghiên cứu gần đây với tiêu đề “Ghost Without Shell: Measuring Non-Interactive SSH Attacks on Honeypots” từ các nhà nghiên cứu tại Đại học Kỹ thuật Séc đã tiết lộ rằng phần lớn kẻ tấn công không tương tác với các hệ thống SSH thông qua các phiên shell truyền thống.
Thay vào đó, họ sử dụng các lệnh tự động, phi tương tác được thực thi tức thời và ngắt kết nối, khiến nhiều honeypot không phát hiện được các hành vi tấn công quan trọng.
Phương pháp Nghiên cứu và Dữ liệu Thu thập
Các nhà nghiên cứu đã triển khai 11 SSH honeypots tương tác cao trên hạ tầng đám mây trong 15 ngày, ghi lại 177.622 phiên đăng nhập thành công. Kết quả cho thấy 99.23% các phiên là phi tương tác, trong khi chỉ 0.10% liên quan đến truy cập shell tương tác. Các nỗ lực truyền tệp chiếm 0.67%.
Các kết quả này đã được xác thực độc lập bằng cách sử dụng một tập dữ liệu lớn từ mạng lưới Cowrie honeypot của CZ.NIC, xác nhận cùng một mô hình ở quy mô lớn hơn.
Thách thức Giả định về Honeypots SSH
Phát hiện này mâu thuẫn với giả định cốt lõi trong thiết kế SSH honeypots: kẻ tấn công đăng nhập và thực thi lệnh thủ công trong một shell tương tác.
Nhiều honeypots hiện đại, bao gồm cả những honeypot được cung cấp bởi các mô hình ngôn ngữ lớn (LLM), được xây dựng để mô phỏng môi trường shell thực tế và đo lường thành công dựa trên thời gian kẻ tấn công ở lại hoặc số lượng lệnh chúng đưa ra.
Mô hình Tấn công Phi Tương tác Phổ biến
Nghiên cứu chỉ ra rằng các chỉ số này ngày càng trở nên không liên quan. Trong hầu hết các trường hợp, kẻ tấn công xác thực, chạy một lệnh duy nhất bằng chế độ exec của SSH, và ngắt kết nối trong vòng chưa đầy một giây.
Các lệnh này thường là tự động và được thiết kế cho việc thu thập thông tin hoặc xác minh, thay vì tương tác kéo dài. Các lệnh phổ biến được quan sát bao gồm các truy vấn lập hồ sơ hệ thống như uname, whoami, uptime, và nproc, giúp kẻ tấn công nhanh chóng đánh giá môi trường mục tiêu.
Xác định Các Chiến dịch Tự động
Các nhà nghiên cứu đã xác định hơn 9.000 chuỗi lệnh duy nhất. Tuy nhiên, một tập hợp nhỏ các lệnh này chiếm phần lớn hoạt động, cho thấy các chiến dịch tự động phối hợp.
Các Lệnh Thăm dò Xác minh
Đáng chú ý hơn, nghiên cứu nhấn mạnh các lệnh thăm dò xác minh được thiết kế để xác định xem mục tiêu là một hệ thống thực hay một honeypot. Điều này thể hiện một mối đe dọa mạng ngày càng tinh vi.
Ví dụ, kẻ tấn công sử dụng giải mã base64 hoặc các phép toán số học như echo $((7*6)) để kiểm tra xem hệ thống có trả về kết quả chính xác không. Các bài kiểm tra này đặc biệt hiệu quả đối với các honeypot dựa trên LLM, vốn có thể tạo ra các kết quả hợp lý nhưng không chính xác.
Tổng cộng, các nhà nghiên cứu đã xác định hơn 2.000 nỗ lực xác minh như vậy. Một số thăm dò cũng kiểm tra các dấu vết honeypot đã biết, như các tiến trình cụ thể hoặc các tệp hệ thống có thể ghi, mặc dù các phương pháp này ít phổ biến hơn.
Tác động đến An ninh Mạng và Phòng thủ
Những phát hiện này có ý nghĩa quan trọng đối với nghiên cứu và phòng thủ an ninh mạng. Các honeypot chỉ tập trung vào các phiên shell tương tác có thể chỉ nắm bắt được một phần nhỏ hành vi thực tế của kẻ tấn công, dẫn đến những hiểu biết sai lệch và các chiến lược phát hiện không hiệu quả.
Tương tự, việc đánh giá hiệu suất của honeypot dựa trên thời lượng tương tác hoặc độ sâu tương tác có thể không còn phản ánh các mối đe dọa trong thế giới thực.
Đề xuất Cải tiến Honeypots SSH
Theo Đại học Kỹ thuật Séc, các SSH honeypots nên hỗ trợ việc thực thi lệnh phi tương tác và cung cấp phản hồi lệnh chính xác. Nguồn tham khảo: arXiv.
Sự thành công nên được đo lường bằng việc hệ thống có hoạt động như một máy chủ thực dưới các thăm dò tự động hay không, thay vì mức độ thuyết phục trong việc mô phỏng tương tác giống con người.
Xu hướng Tấn công Tự động Hóa
Những phát hiện này cũng chỉ ra một sự thay đổi rộng lớn hơn trong hành vi của kẻ tấn công theo hướng tự động hóa và quét quy mô lớn. Thay vì khám phá thủ công các hệ thống bị xâm nhập, kẻ tấn công ngày càng dựa vào các tập lệnh thực hiện kiểm tra nhanh chóng trên hàng nghìn mục tiêu.
Sự phát triển này nhấn mạnh sự cần thiết của các chiến lược đánh lừa được cập nhật phù hợp với các kiểu tấn công hiện tại. Nếu không thích ứng với các kỹ thuật phi tương tác, nhiều honeypot có nguy cơ trở nên lỗi thời, chỉ nắm bắt được một cái nhìn hẹp và lỗi thời về bối cảnh mối đe dọa mạng.
Việc hiểu rõ các phương thức tấn công phi tương tác là chìa khóa để nâng cao khả năng phát hiện xâm nhập và bảo vệ hệ thống hiệu quả hơn.










