Các hệ thống honeypot của DShield đã ghi nhận một lượng log chưa từng thấy trước đây, đánh dấu sự gia tăng đáng kinh ngạc trong hoạt động do thám mạng. Một số subnet riêng lẻ đã tạo ra hơn một triệu bản ghi chỉ trong một ngày, cho thấy mức độ quét và thăm dò trên diện rộng đang leo thang.
Sự bùng nổ này được quan sát trên nhiều phiên bản honeypot khác nhau, bao gồm cả các thiết lập dân cư (residential) và lưu trữ (archived). Hiện tượng này đặc biệt nổi bật vì nó khác biệt hoàn toàn so với các mô hình hoạt động trong quá khứ, nơi mà các đợt tăng đột biến về lưu lượng log thường là những bất thường hiếm gặp và có tính cục bộ.
Tăng Trưởng Đột Biến trong Hoạt Động Do Thám Mạng
Khối Lượng Log Không Tưởng
Trong vài tháng gần đây, đặc biệt là kể từ tháng 4 năm 2025, các log từ honeypot web đã chiếm ưu thế trong dòng dữ liệu tăng lên này. Khối lượng log thường xuyên vượt quá 1 GB mỗi ngày và trong một số trường hợp, đỉnh điểm lên tới gần 58 GB. Con số này vượt xa các kỷ lục trước đó, vốn chỉ vào khoảng 35 GB. Những khối lượng dữ liệu khổng lồ như vậy không chỉ gây áp lực lớn lên tài nguyên lưu trữ mà còn là minh chứng rõ ràng cho hoạt động quét internet trên quy mô lớn và thăm dò tiềm ẩn các lỗ hổng bảo mật.
Phân tích dữ liệu trong khoảng thời gian 13-14 tháng cho thấy rằng hoạt động gần đây đã hoàn toàn lấn át các log trước đó, khiến chúng gần như không hiển thị trong các biểu đồ không lọc. Điều này nhấn mạnh mức độ và sự dai dẳng của làn sóng quét hiện tại.
Phân Tích Dữ Liệu Lịch Sử và Xu Hướng Hiện Tại
Khi tiến hành lọc bỏ các mạng nguồn (subnet /24) đóng góp hơn một triệu log mỗi ngày, các mô hình hoạt động cơ bản mới bắt đầu lộ rõ. Kết quả cho thấy một xu hướng tăng lên bền vững trong hoạt động nền (baseline activity) ngay cả trước khi đạt đến các đỉnh điểm gần đây. Theo báo cáo từ ISC SANS, góc nhìn được lọc này củng cố nhận định rằng mặc dù các ngày có khối lượng log cao bất thường đã xảy ra rải rác trong quá khứ, tần suất và mức độ hiện tại là đặc biệt chưa từng có. Nhiều honeypot đã ghi nhận hơn 20 GB log mỗi ngày trong các khoảng thời gian liên tục, cho thấy một sự thay đổi cơ bản trong hành vi của các tác nhân độc hại.
Cơ Chế Kỹ Thuật Đằng Sau Làn Sóng Quét Mạng
Các Kỹ Thuật Quét Tự Động
Về mặt kỹ thuật, hiện tượng này được thúc đẩy bởi hoạt động quét tự động diễn ra từ các subnet chồng chéo. Các tác nhân này đặc biệt nhắm mục tiêu vào các đường dẫn URL cụ thể, vốn là dấu hiệu rõ ràng của việc thăm dò lỗ hổng hoặc hoạt động trinh sát. Điều này ngụ ý một chiến lược quét có chủ đích nhằm tìm kiếm các điểm yếu hoặc thông tin nhạy cảm trên các dịch vụ web.
Mục Tiêu Quét và Các Đường Dẫn URL Phổ Biến
Sự đa dạng về số lượng IP duy nhất và các đường dẫn URL được truy cập trên mỗi subnet cho thấy các hoạt động giống như botnet được phối hợp. Mục tiêu của các chiến dịch này có thể là quét tìm kiếm các cấu hình sai (misconfigurations) trong các dịch vụ web, API miền (domain APIs), hoặc thậm chí là các điểm cuối SSL VPN. Ví dụ:
- Các subnet có sự đa dạng URL thấp (chẳng hạn như chỉ truy cập 2-3 đường dẫn) thường chỉ ra các chiến dịch có mục tiêu cụ thể, tập trung vào các điểm yếu đã biết.
- Ngược lại, các cuộc thăm dò rộng hơn (ví dụ: lên đến 18.152 đường dẫn duy nhất được ghi nhận từ subnet 80.243.171.0/24) cho thấy một chiến lược liệt kê (enumeration) mang tính cơ hội, nhằm khám phá càng nhiều bề mặt tấn công càng tốt.
Các đường dẫn phổ biến nhất được nhắm mục tiêu trên các subnet này bao gồm:
- Đường dẫn gốc “/”: Chiếm hơn 38 tỷ lượt truy cập, cho thấy việc quét cơ bản để xác định sự tồn tại của máy chủ web.
- “/api/v1/config/domains”: Với 33 tỷ lượt truy cập, tập trung vào việc thăm dò các cấu hình liên quan đến miền hoặc API quản lý.
- “/api/v1/logon”: Đạt 1.6 tỷ lượt truy cập, cho thấy các nỗ lực thăm dò các điểm cuối đăng nhập hoặc xác thực.
Ít thường xuyên hơn nhưng đáng chú ý là các truy vấn đến các dịch vụ bên ngoài như “api.ipapi.is:443” và “myip.wtf:443”. Các truy vấn này có thể liên quan đến việc xác định vị trí địa lý IP hoặc tự nhận diện trong các công cụ quét, cung cấp thông tin cho kẻ tấn công về môi trường mà chúng đang tương tác.
Các Subnet Nổi Bật và Đặc Điểm Hoạt Động
Một số subnet cụ thể đã đóng góp đáng kể vào làn sóng hoạt động này, mỗi subnet thể hiện một mô hình tấn công riêng:
- Subnet 45.146.130.0/24: Đã tích lũy hơn 200 triệu lượt truy cập. Hoạt động chính từ subnet này chủ yếu đến từ một số ít địa chỉ IP, tập trung vào các đường dẫn gốc (“/”), cho thấy một chiến dịch quét bề mặt rộng nhưng có mục tiêu đơn giản.
- Subnet 179.60.146.0/24: Lại tập trung vào các điểm cuối API như “/api/v1/config/domains”. Điều này chỉ ra một nỗ lực thăm dò sâu hơn vào các chức năng quản lý hoặc cấu hình của ứng dụng web.
Dữ liệu này, được tổng hợp từ các log thô, minh họa một sự chuyển dịch rõ rệt sang hoạt động do thám dựa trên web ngày càng hung hãn. Điều này có thể nhằm mục đích khai thác các máy chủ chưa được vá lỗi hoặc thu thập thông tin tình báo cho các cuộc tấn công trong tương lai.
Tác Động và Hàm Ý Bảo Mật
Thách Thức về Quản Lý Dữ Liệu
Khối lượng log tăng cao liên tục đặt ra yêu cầu cấp bách về các biện pháp chủ động đối với những người duy trì honeypot. Việc thường xuyên lưu trữ dữ liệu là cần thiết, sử dụng các kỹ thuật nén cao như nén zip hai lần mỗi ngày để quản lý nhu cầu lưu trữ. Với việc tích lũy tiềm năng vượt quá 140 GB mỗi tuần chỉ riêng cho log web, các nhà điều hành phải nâng cao các giao thức sao lưu để ngăn chặn mất dữ liệu hoặc cạn kiệt tài nguyên lưu trữ.
Nguy Cơ Tiềm Tàng và Khai Thác
Xu hướng này có thể là tín hiệu của các mối đe dọa mạng rộng lớn hơn, như các cảnh báo về mối đe dọa mạng từ Iran được CISA đưa ra. Điều này thôi thúc các nhóm bảo mật giám sát các chỉ số tương tự trong môi trường sản xuất của họ. Việc theo dõi chặt chẽ các log và lưu lượng mạng trong môi trường thực tế là rất quan trọng để phát hiện sớm các hoạt động trinh sát tiềm ẩn.
Biện Pháp Đối Phó và Khuyến Nghị
Quản Lý Honeypot và Lưu Trữ Dữ Liệu
Để đối phó với sự gia tăng đột biến về khối lượng log, các nhà quản trị honeypot cần thực hiện các biện pháp quản lý dữ liệu hiệu quả:
- Lưu trữ thường xuyên: Triển khai quy trình lưu trữ log tự động và định kỳ.
- Kỹ thuật nén cao: Sử dụng các công cụ nén mạnh mẽ (ví dụ: gzip, zip) để giảm thiểu dung lượng lưu trữ cần thiết. Việc nén dữ liệu hai lần mỗi ngày có thể là cần thiết để đối phó với lưu lượng hiện tại.
- Tăng cường sao lưu: Thiết lập và duy trì các giao thức sao lưu mạnh mẽ để đảm bảo an toàn dữ liệu và khả năng phục hồi trong trường hợp cạn kiệt tài nguyên hoặc sự cố hệ thống.
Giám Sát Môi Trường Sản Xuất
Các chỉ số được quan sát trên honeypot cần được xem xét nghiêm túc và áp dụng để tăng cường khả năng phòng thủ trong môi trường sản xuất:
- Giám sát lưu lượng bất thường: Theo dõi các mẫu quét tương tự, đặc biệt là các truy cập tới các đường dẫn API hoặc điểm cuối quản trị.
- Phát hiện lỗ hổng: Sử dụng thông tin về các đường dẫn URL bị nhắm mục tiêu để ưu tiên việc vá lỗi và cấu hình bảo mật cho các ứng dụng web và dịch vụ API.
- Kiểm tra cấu hình: Đảm bảo rằng tất cả các dịch vụ web, API và SSL VPN được cấu hình đúng cách và không có các cấu hình sai phổ biến có thể bị khai thác.
Phân Tích Pháp Y Sâu Hơn
Việc phân tích pháp y sâu hơn các log này có thể tiết lộ các chiến thuật, kỹ thuật và quy trình (TTPs) đang phát triển trong hành vi của các tác nhân độc hại. Điều này bao gồm việc phát hiện các phương thức phối hợp dựa trên subnet nhằm né tránh sự phát hiện, cũng như các kỹ thuật mới trong việc thăm dò và thu thập thông tin tình báo. Việc hiểu rõ hơn về TTPs sẽ giúp cộng đồng an ninh mạng phát triển các biện pháp phòng thủ hiệu quả hơn.
Hoạt động kỷ lục này được ghi nhận trên các honeypot DShield nhấn mạnh một kỷ nguyên mới của hoạt động quét mạng dai dẳng, khối lượng lớn, đòi hỏi phản ứng thích ứng từ cộng đồng an ninh mạng để giảm thiểu các rủi ro liên quan.
