蜜罐誘捕系統(honeypot)是網路安全研究的實用工具,主要透過將資源暴露在受控制的環境中,以了解不同的攻擊類型以及模式。honeypot 可讓研究者直接看到系統如何被強行進入,並揭露攻擊者的基礎設施,有時甚至可以發現尚未知曉的漏洞。因此,honeypot 被探測、攻擊或洩漏地越多,它就越有價值。本 APNIC 文摘原標題 A tale of two honeypots in Bhutan,是由 APNIC 資深網路分析師 Tashi Phuntsho 撰文,主要介紹 APNIC 社群運用 honeypot 的實例。
一般來說,honeypot的運作方式如下:
- 攻擊者發現honeypot,取得明顯易受攻擊主機的存取權限。
- 攻擊者下載程式語言或代碼。
- 攻擊者試圖執行惡意程式碼。
- 透過檢查程式語言/代碼和相關紀錄,可查看攻擊者及其惡意軟體正在執行或嘗試執行的操作。
APNIC 社群誘捕網始於2016年,大多數參與者都使用同類型的honeypot軟體(SSH和Telnet使用Cowrie),並與合作夥伴和網路安全社群分享資料。該社群目前在不丹有 2 個合作夥伴,作者在文中擷取兩個 honeypot 儀表板,向讀者解釋所透露的資訊。
其中一個儀表板顯示訊務的來源國家、以「文字雲」形式表示進入honeypot的使用者名稱和密碼;另一個則是前20大下載區,在這裡可看到,攻擊者取得權限進入honeypot後所下載檔案的連結,此有助於研究人員瞭解攻擊者的方式與所下的指令。透過觀察攻擊者在其他 honeypot 主機留下的紀錄,還可在惡意軟體分析網站(如Hybrid Analysis和Virus Total)查詢其是否為惡意的。
希望進一步了解系統安全防護以及攻擊後的補救措施,或者對於APNIC社群誘捕網計畫有興趣者,可與資深安全專家 Adli Wahid 聯繫。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為 A tale of two honeypots in Bhutan。
