Các nhà nghiên cứu an ninh mạng đã thành công trong việc triển khai các hệ thống honeypot AI sử dụng trí tuệ nhân tạo. Mục tiêu là để đánh lừa tội phạm mạng, buộc chúng phải tiết lộ các chiến lược tấn công, từ đó mở ra một cách tiếp cận mới đầy hứa hẹn trong việc thu thập threat intelligence.
Kỹ thuật đổi mới này tận dụng các mô hình ngôn ngữ lớn (LLMs) để tạo ra các hệ thống giả mạo một cách thuyết phục. Những hệ thống này có khả năng thu hút tin tặc, khiến chúng bộc lộ các phương thức và hạ tầng tấn công.
Beelzebub: Khung Honeypot AI Tiên tiến
Điểm đột phá nằm ở Beelzebub, một khung honeypot mã nguồn thấp. Nền tảng này có khả năng mô phỏng các hệ thống dễ bị tổn thương bằng cách sử dụng phản hồi được tạo bởi AI. Khác với các honeypot truyền thống đòi hỏi cấu hình thủ công phức tạp, phương pháp dựa trên LLM này tự động tạo ra các kết quả đầu ra lệnh thực tế. Điều này thuyết phục kẻ tấn công rằng chúng đã xâm nhập được một mục tiêu thật sự.
Cấu hình Kỹ thuật và Khả năng Tích hợp
Hệ thống Beelzebub có thể được cấu hình chỉ với một tệp YAML duy nhất. Nền tảng này tích hợp dễ dàng với các mô hình GPT của OpenAI hoặc các giải pháp thay thế cục bộ như Llama.
Dịch vụ SSH của honeypot mô phỏng một máy chủ Ubuntu, hoàn chỉnh với các phản hồi hệ thống trông xác thực. Khi kẻ tấn công thực thi lệnh, AI sẽ tạo ra các kết quả đầu ra hợp lý, duy trì ảo giác về một hệ thống bị xâm nhập. Đồng thời, nó bí mật ghi lại tất cả các hoạt động độc hại.
Phân tích Sự kiện Xâm nhập và Thu thập Threat Intelligence
Trong một lần triển khai gần đây, các nhà nghiên cứu đã bắt giữ một cuộc tấn công trực tiếp từ địa chỉ IP 45.175.100.69. Kẻ tấn công đã sử dụng các thông tin xác thực phổ biến (admin/123456) để giành quyền truy cập.
Kẻ tấn công, hoàn toàn không nhận thức được rằng chúng đang hoạt động trong một môi trường được kiểm soát, đã tiến hành tải xuống nhiều tệp nhị phân độc hại từ một trang web bị xâm nhập tại deep-fm.de.
Mẫu Tấn công và Mã độc Tiết lộ
Phiên giao dịch bị bắt giữ đã tiết lộ các mẫu tấn công tinh vi. Chúng bao gồm các nỗ lực tải xuống và thực thi một backdoor dựa trên Perl, được ngụy trang thành một daemon SSH.
Kịch bản độc hại này chứa các chi tiết cấu hình được mã hóa cứng cho các máy chủ điều khiển và kiểm soát (C2) dựa trên IRC. Cụ thể, nó nhắm mục tiêu vào các kênh Undernet như #rootbox và #c0d3rs-TeaM. Đây là một ví dụ điển hình về cách một honeypot AI có thể thu thập thông tin giá trị.
Chi tiết Mã độc và Hạ tầng Botnet
Phân tích sâu hơn cho thấy kẻ tấn công đã xâm nhập một trang web dựa trên Joomla để lưu trữ các payload độc hại của chúng. Điều này biến hạ tầng hợp pháp thành một nền tảng phân phối cho các công cụ tội phạm mạng. Kịch bản Perl bị bắt giữ đã phơi bày các chi tiết hoạt động quan trọng, bao gồm:
- Máy chủ IRC: ix1.undernet.org:6667
- Tên người dùng quản trị: “warlock`”
- Các mẫu máy chủ được ủy quyền
Thông tin tình báo này đã cho phép các nhà nghiên cứu lập bản đồ cấu trúc lệnh của botnet và xác định các chiến dịch lây nhiễm đang hoạt động.
Chỉ số Đảm bảo (IOCs) Thu thập được
Các chỉ số đảm bảo (IOCs) quan trọng được thu thập từ cuộc tấn công này bao gồm:
- Địa chỉ IP nguồn: 45.175.100.69
- Tên người dùng/Mật khẩu bị sử dụng: admin/123456
- Nguồn tải xuống mã độc: deep-fm.de
- Máy chủ C2 (IRC): ix1.undernet.org:6667
- Kênh IRC C2: #rootbox, #c0d3rs-TeaM
- Tên người dùng C2: warlock`
- Loại mã độc: Backdoor dựa trên Perl
Ứng dụng Thực tiễn và Tương lai của Honeypot AI
Với thông tin tình báo thu thập được, các nhóm an ninh mạng đã thành công trong việc vô hiệu hóa botnet bằng cách báo cáo các kênh IRC cho quản trị viên Undernet. Điều này chứng minh cách các honeypot AI không chỉ có thể thu thập thông tin tình báo mà còn cho phép các hành động phản ứng nhanh chóng chống lại các mối đe dọa đang hoạt động.
Kỹ thuật này thể hiện một bước tiến đáng kể trong các công nghệ an ninh mạng mang tính đánh lừa. Nó cung cấp khả năng săn lùng mối đe dọa tự động, mở rộng quy mô vượt ra ngoài giới hạn của các honeypot truyền thống. Thông tin chi tiết về triển khai có thể được tìm thấy tại Beelzebub Honeypot Blog.
Khi tội phạm mạng ngày càng dựa vào các công cụ tự động, các hệ thống đánh lừa được hỗ trợ bởi AI cung cấp một biện pháp đối phó hiệu quả. Chúng biến các kỹ thuật của chính kẻ tấn công thành điểm yếu của chúng.
Cách tiếp cận mới nổi này hứa hẹn sẽ cách mạng hóa cách các nhóm bảo mật thu thập threat intelligence và phản ứng với các mối đe dọa mạng đang phát triển. Việc tích hợp honeypot AI vào chiến lược an ninh mạng tổng thể sẽ là yếu tố then chốt cho sự thành công trong cuộc chiến chống tội phạm mạng.
