HackerNews 编译，转载请注明出处： 网络安全研究人员披露，代号ViciousTrap的黑客组织已入侵全球84个国家近5,300台网络边缘设备，将其改造成类蜜罐网络。该组织利用思科小型企业路由器（型号RV016、RV042、RV042G、RV082、RV320、RV325）的关键漏洞CVE-2023-20118实施大规模入侵，其中850台受控设备位于澳门。 安全公司Sekoia在周四发布的分析报告中指出：“感染链涉及执行名为NetGhost的shell脚本，该脚本将被入侵路由器特定端口的流量重定向至攻击者控制的类蜜罐设施，从而实现网络流量劫持。” 此前，法国网络安全公司曾将该漏洞利用归因于另一个名为PolarEdge的僵尸网络。 尽管尚无证据表明这两项活动存在关联，但研究人员认为ViciousTrap背后的组织正通过入侵大量暴露于互联网的设备构建蜜罐基础设施，涉及品牌包括Araknis、华硕、D-Link、领势、威联通等50余个厂商的SOHO路由器、SSL VPN、数字录像机及基板管理控制器。 分析报告补充称：“这种架构使攻击者能观察多环境渗透尝试，可能收集未公开或零日漏洞利用方案，并劫持其他威胁组织的入侵成果。” 攻击链首先通过漏洞利用下载bash脚本，该脚本从外部服务器获取wget工具后再次触发漏洞，执行第二阶段的NetGhost脚本。 NetGhost脚本配置了流量重定向功能，将被控系统流量导向攻击者控制的第三方设施，实施中间人攻击，同时具备自删除能力以减少取证痕迹。Sekoia表示所有攻击尝试均源自单一IP地址（101.99.91[.]151），最早活动可追溯至2025年3月。次月监测到该组织将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。 安全研究人员费利克斯·艾梅与杰里米·希恩指出：“该行为与攻击者使用NetGhost的策略相符，流量重定向机制使其成为静默观察者，可收集渗透尝试及传输中的WebShell访问痕迹。” 本月最新攻击活动转向华硕路由器，使用另一IP地址（101.99.91[.]239），但未在受控设备部署蜜罐。所有活跃IP均位于马来西亚，归属托管服务商Shinjiru运营的自治系统AS45839。 基于与GobRAT基础设施的微弱关联，以及流量重定向至中国台湾地区和美国多地资产的事实，研究人员判断该组织可能具备中文背景。Sekoia总结称：“尽管高度确信ViciousTrap构建的是类蜜罐网络，但其最终目标仍未明确。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

Hackernews 编译，转载请注明出处： 两名安全研究人员针对网络罪犯建立了一个蜜罐，对网络攻击进行了三年的追踪，得到了超过2万次的会话。他们描述了黑客的5个主要类别。 蜜罐揭示了黑客如何安装恶意软件、挖掘加密货币、滥用服务器进行DDoS攻击以及实施欺诈活动。 根据GoSecure发布的报告，两名研究人员、一名工程师和一名犯罪数据科学家收集了超过1.9亿次事件、100小时的视频片段和470个攻击者使用的文件，所有这些都来自20,000个远程桌面协议(RDP)连接捕获。以上种种都是在三年观察期内发生的。 RDP是网络罪犯(包括勒索软件组织)使用的关键攻击媒介。 为了研究网络攻击，研究人员创建了一个开源的RDP拦截工具。这个名为PyRDP的工具具有“无与伦比的屏幕、键盘、鼠标、剪贴板和文件收集功能”。 他们利用收集到的数据将机会主义攻击者分成不同的组。描述不同类型的攻击者可以让我们集中注意，了解最流行的操作方式和更复杂的威胁。 “报告展示了RDP的巨大能力，不仅有利于研究，也有利于执法部门和蓝队的作业。执法部门可以合法地拦截勒索软件组织使用的RDP环境，并在记录会话中收集情报，以供调查使用。”研究人员写道。 另一方面，网络安全防御团队可以使用妥协指标(表明潜在安全漏洞或恶意活动的证据)来进一步保护他们的组织。蜜罐不仅提供了对各种攻击者的间谍技术的看法，也可能放慢他们的脚步，吓唬他们改变策略。这将影响对其行为的成本效益分析，从而使每个人都受益。 研究人员承诺:“在接下来的几个月里，我们将在攻击者的武器博客系列文章中详细介绍不同黑客使用的工具。” 为了描述五种类型的攻击者，他们使用了流行游戏《龙与地下城》中的类别: 骑兵：探索所有计算机文件夹、检查网络和主机性能特征，并通过单击或程序/脚本来运行侦察。游骑兵不采取其他有意义的行动。研究人员写道:“我们的假设是，他们正在评估他们所攻击的系统，以便攻击者的另一个配置文件稍后返回运行。” 盗贼：将获得的RDP通道货币化。在控制计算机之后，他们更改凭据并执行不同的活动来实施访问权。为了获得一些有价值的东西，盗贼们使用诸如traffmonetizer(代理软件)、货币化浏览器(参与付费冲浪计划)、加密矿工，Android模拟器(移动欺诈)等工具。 野蛮人：使用大量的工具来暴力入侵更多的计算机。对他们来说，一个被破坏的系统是破坏其他系统的工具。它们处理IP地址、用户名和密码的列表。 巫师：这类攻击者关心他们的操作安全。巫师使用RDP访问作为门户，连接到以类似方式受损的另一台计算机。他们跳过被入侵的主机来隐藏自己的身份。“为了做到这一点，他们会小心翼翼地生活在系统中，展示了高水平的技能。监控和洞悉这些攻击者的行动对于威胁情报收集至关重要。这使得防御者和研究人员能够深入到受损的基础设施中。” 游吟诗人：缺乏明显的黑客技能并不能阻止那些想成为黑客的人。游吟诗人利用受损系统来完成一些基本的任务，比如通过简单的谷歌搜索寻找病毒或观看色情内容。 “证据显示，他们可能从破坏系统的人那里购买了RDP访问权限，也就是初始访问代理(IABs)。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

据报道，远程桌面连接对黑客的吸引力非常之大，来自各种 IP 地址的公开连接平均每天超过 37,000 次。 在此阶段，攻击是自动化的。但是一旦获得正确的访问凭据，黑客就会开始手动搜索重要或敏感文件。 黑客蜂拥而至 RDP 使用可从公共 Web 访问的 RDP（即“远程桌面协议”）连接的高交互蜜罐进行的实验表明，攻击者每天的工作时间与上班时间非常相似。 在三个月的时间里，总部位于美国和加拿大的威胁搜寻和响应公司GoSecure的研究人员记录了近 350 万次对其 RDP 蜜罐系统的登录尝试。 GoSecure 的网络安全研究员 Andreanne Bergeron 在加拿大蒙特利尔举行的 NorthSec 网络安全会议上解释说，蜜罐与一个研究项目有关，该项目旨在了解可以转化为预防建议的攻击者策略。 该蜜罐已经断断续续运行了三年多，并稳定运行了一年多，但为演示文稿收集的数据仅代表 2022 年 7 月 1 日至 9 月 30 日之间的三个月。 在此期间，蜜罐被 1,500 多个 IP 地址命中 3,427,611 次。然而，全年的攻击次数达到了 1300 万次登录尝试。 为了刺激攻击者的胃口，研究人员将该系统命名为似乎是银行网络的一部分。 正如预期的那样，妥协尝试依赖于基于多个词典的暴力攻击，最常见的用户名是“Administrator”及其变体（例如短版本、不同的语言或字母大小写）。 但是，在大约 60,000 个案例中，攻击者在尝试找到正确的登录名之前进行了一些侦察，并运行了一些明显不在下面集合中的用户名。 Bergeron 解释说，上图中的三个奇怪的用户名与蜜罐系统有关（RDP 证书和主机的名称，以及托管提供商的名称）。 在前 12 个尝试过的登录名中存在此数据表明，至少有一些黑客没有盲目地测试登录的凭据对，而是首先收集了有关受害者的信息。 Bergeron 告诉我们，系统收集了密码的哈希值，研究人员能够恢复较弱的密码。结果表明，最常见的策略是使用 RDP 证书的变体，其次是“密码”一词的变体和最多十位数字的简单字符串。   将这些统计数据与攻击 IP 地址相关联时，一个有趣的发现是 RDP 证书名称专门用于来自中国和俄罗斯的 IP 的登录尝试。 然而，这并不一定意味着攻击者来自两国，而是他们使用了两个地区的基础设施。 另一个观察结果是，许多攻击者 (15%) 将数千个密码与五个用户名组合在一起。   一个正常的工作日 当黑客开始窥探系统内部以获取有价值的数据时，经过最初的暴力破解阶段后，人为参与攻击变得更加明显。 Bergeron 进一步挖掘数据，为针对蜜罐的 IP 地址创建了一个热图，并注意到该活动形成了一种日常模式，其中有停顿，表明黑客正在休息。 许多活动块跨越 4 小时，最多可达 8 小时，尽管有些会议长达 13 小时。这表明人为干预，至少是为了发动攻击，并且似乎遵循某种时间表。 更重要的是，暴力破解活动在周末停止，这可能表明攻击者将黑客活动视为一项正常工作。 值得注意的是，一旦脚本被适当调整，这些都是自动登录尝试，不需要人工监控。 在一个例子中，Bergeron 注意到攻击之间有八小时的间隔，并推断这可能表明攻击者轮班工作。 在针对目标 (14%) 定制的攻击中以及在每次登录尝试之间增加延迟以模仿真人活动时，也可以看到人性化和复杂程度。 当黑客开始窥探系统内部以获取有价值的数据时，经过最初的暴力破解阶段后，人为参与攻击变得更加明显。 尽管研究人员使用“admin/admin”凭证对降低了蜜罐的登录难度，但 Bergeron 告诉 BleepingComputer，只有 25% 的黑客开始探索机器以查找重要文件。 Bergeron 还表示，蜜罐是空的，这可能就是为什么只有四分之一的攻击者徘徊在搜索数据上的原因。然而，研究的下一步将是用虚假的公司文件填充服务器，并监控攻击者的行动和行动。 为了记录和存储攻击数据，包括对手 RDP 会话的实时视频源，该研究使用了PyRDP ，这是 GoSecure网络安全研究总监兼 NorthSec 会议主席Olivier Bilodeau开发的开源拦截工具。 Andreanne Bergeron今年在 NorthSec 的演讲题为“人与机器：针对远程桌面协议的自动攻击中的人机交互水平”。NorthSec 的 YouTube 频道上提供了会议两个阶段的所有演讲。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/rvEMM7JwOyb3wYS-EVJ3IQ 封面来源于网络，如有侵权请联系删除