部署蜜罐后,意外发现暗网世界里的残酷黑吃黑

2017-07-14 20:37:03 新桐 锦行信息安全


一伙毒贩因为觉得贩毒来钱太慢,于是计划抢劫他们胆小而富有的毒品供货商。不料,计划被隔壁两个欠下高额赌债走投无路的赌徒无意中听见了。

 

当毒贩冒着风险辛苦抢劫了一批毒品回到家里准备分赃的时候,却被这两个事先埋伏的赌徒给“截胡”了。

 

赌徒得手后,又把毒品卖给当地的一个毒品收购商,却未料到这个收购商就是之前被毒贩抢劫的供货商的幕后老板......

 

这是著名喜剧电影《两杆大烟枪》中经典的一幕。


电影从侧面向我们展示了伦敦这个文明大都市下的角落里,也存在着一些不容易看见的阴暗、龌蹉、肮脏的地带。在那里,没有法律、道德、情义的约束,充斥着各种罪恶的交易和犯罪活动。

 

在网络世界里,也存在着这样的灰色地带,这就是我们经常听到的暗网(The Dark Web)。

 

在暗网里,96%的互联网数据无法通过标准搜索引擎访问到,其中大部分属于无用信息,但隐藏在表层之下的有许多你无法想象的内容,包括:儿童贩卖、比特币洗钱、致幻剂、系统漏洞、赏金黑客等等。

 

由于暗网基本不受到任何法律的保护和约束,并且存在大量有价值的信息资产以及黑市数据,因此本身也成为了网络犯罪者们重要的攻击目标,文章开头《两杆大烟枪》里面那一幕黑吃黑的场景每天都在暗网上演。

 

最近有国外安全专家通过在Tor网络中部署蜜罐的方法,通过连续6个月采集和分析攻击数据,为我们还原了一个真实网络空间黑吃黑的大戏。


搭建蜜罐吸引暗网攻击者


我们使用一些蜜罐对某暗网组织进行了模拟,每台蜜罐都设置了一个或者多个暴露给攻击者利用的漏洞,攻击者可以通过这些漏洞进入蜜罐。


一旦蜜罐确认被攻击后,我们将记录所有的攻击数据并且重新把蜜罐恢复到初始状态继续使用。


一个蜜罐系统包括:


1. 一个只向受邀成员开放的黑市交易网站;

2. 一个为暗网提供定制化服务和解决方案的博客;

3. 一个只允许注册会员登录的地下论坛,并且会员的注册只能通过邀请;

4. 一个通过FTP和SSH协议,提供登录和敏感信息传输服务的私人文件服务器。


图1:模拟的地下论坛


图2:蜜罐设置的漏洞


图3:蜜罐中注册账户的邮箱信息


图4:蜜罐系统的体系结构


五月份蜜罐每天遭受的攻击次数超过170次


下图中显示了蜜罐系统运行的6个月中每天接收到的攻击的平均次数(按POST请求的数量来计算):


图5:蜜罐每天遭受的攻击数


在部署蜜罐两个月后,我们发现暗网并不像人们想象的那般神秘。只要使用Tor代理(类似Tor2web)就可以访问Tor网络提供的各项服务,并不需要任何其他来自公网的配置。


我们搭建的蜜罐可以被传统的搜索引擎搜索到,并可以被一些自动化的漏洞利用脚本设置为隐式的攻击目标。结果显示, 五月份蜜罐每天遭受的攻击次数超过170次。


其中来自公网的攻击相当成功,黑市站点被攻破的频率高达90%。攻击者大部分都会向服务器挂马(添加web shell), 其后在蜜罐上运行系统命令、发送邮件、篡改网页、传播钓鱼工具包等操作。


而暗网中的攻击者使用的技术却有所不同,他们更倾向于进行人工攻击,更加谨慎,也会花费更多的时间。比如,一旦它们通过web shell获得系统访问权限,他们首先会尝试尽可能的收集服务器信息,例如列出目录信息、查看数据库内容、获取系统/配置文件等。


图6:攻击者上传的Webshell信息示例


图7:一个攻击者使用Tor匿名网络制作钓鱼电子邮件的实例


图8:被攻破的蜜罐上安装了漏洞扫描工具


暗网中的手工攻击者经常会删除他们存放在蜜罐中的文件,有些甚至会留下戏虐的消息(“欢迎来到蜜罐系统”),表明他们已经识别出了这是蜜罐环境。


有趣的是,攻击者似乎意识到暗网中那些已被攻陷的隐藏服务是一个大金矿,因为通过Tor 网络发出的DDos以及垃圾邮件等攻击会被Tor自动匿名掉。


网络犯罪分子之间黑吃黑


我们的一个重要发现是,似乎暗网中不同黑客的组织与个人之间会相互攻击。我们的蜜罐系统主要模拟地下市场的常见服务,如VIP 市场和“shady”论坛。


我们注意到暗网中的攻击者试图对蜜罐进行如下攻击:


1. 破坏蜜罐模拟的网站业务,攻击原因可能是同行竞争;

2. 尝试劫持和监控蜜罐的通信流量;

3. 从伪装成FTP服务器的蜜罐上窃取机密数据;

4. 通过登录我们模拟的聊天平台,试图监控IRC通信;

5. 对蜜罐中的自定义应用进行手动攻击。


下边是几个攻击的实例:


图9:一次网站信息被攻破的实例


图10:网站代码中注入了竞争对手的链接地址


图11:网站代码中注入了竞争对手的链接地址


图12:对私钥进行攻击的实例


暗网中的网络攻击更加激烈


我们起初并不认为通过Tor操作的隐藏网络服务会被暗网外的攻击者攻击,事实证明我们再一次错了。


首先,我们很惊讶的得知Tor代理的存在使得暗网并没有像一些人认为的哪样“暗”,因此我们开始试着从我们的蜜罐中过滤掉这些来自Tor代理的流量。


我们原认为这样能阻止更多的攻击,但是我们错了,攻击仍然在继续。事实证明攻击者寻找了被其他组织操作的服务以及进行手动攻击。由于在暗网中进行索引和搜索更加的困难,这也显示出了攻击者在寻找和关闭竞争对手所控制的站点上所付出的巨大努力和积极性......


本文来源参考:

https://blog.trendmicro.com/trendlabs-security-intelligence/red-on-red-the-attack-landscape-of-the-dark-web/




锦行,让安全一路随行


听说这个微信号有国内外欺骗技术最新动态、最前沿的内网安全干货最新的漏洞信最快的安全资讯速递


如果您对我们的公众号运营有建议,请微信后台留言或联系邮箱:market@jeeseen.com 。建议被采纳,将有机会获得锦行科技定制的幻云陀螺一个哦