E安全6月13日讯  网络安全公司Trend Micro的安全研究人员们对暗网攻击格局进行了为期六个月的追踪调查。研究人员们设置了一套蜜罐以模拟暗网当中的数项地下服务，旨在分析其选择攻击目标的具体方式。

此项研究旨在分析恶意攻击者的目标平台如何根据其它犯罪组织或者个人的引导发挥作用。

部署蜜罐，引诱黑客攻击

安全专家们使用的蜜罐包含以下组成部分：

1. 一套黑市，仅允许受邀成员圈子之内借此进行地下交易。

2. 一份博客，专门提供针对暗网内定制服务与解决方案的说明信息。

3. 一套地下论坛，仅允许注册会员进行登录。另外，需要由其他会员引荐方可注册为会员。

4.一台专有文件服务器，用于为敏感文件提供文件传输协议（简称FTP）与安全Shell（简称SSH）登录机制。

运行在各蜜罐之上的服务将不升级任何补丁以及做任何防御措施，旨在吸引攻击者对其开展入侵。研究人员在每次成功遭受攻击后都会自动记录全部日志信息，并重新将环境恢复至初始状态。

Trend Micro公司在发布的分析报告当中解释称：

“为了实现这项目标，我们在Tor当中利用多套蜜罐模拟出网络犯罪目标。每个蜜罐皆会至少暴露出一项安全漏洞，以允许攻击者夺取对该目标的控制权。在受到感染之后，我们会自动记录全部日志并将该环境恢复至初始状态。”

下图显示了每天攻击尝试的平均次数，以POST请求数量衡量，仅在一个月内，每天的攻击次数达到160次，其中大部分成功。

研究人员们得出的第一项发现在于，多数攻击源自Tor2web等Tor代理，其允许恶意人士从明网当中发现隐藏服务。这份报告同时指出：

“Tor2web等各类Tor代理能够在无需立足公共互联网进行任何额外配置的前提下接入Tor隐藏服务。我们的蜜罐自动可用于各类传统搜索引擎，因此可作为多种自动化漏洞利用脚本的攻击目标。”

对攻击活动的分析结果显示，攻击者大多数会在服务器上安装WebShell以对其加以控制; 另外，在多数情况下，攻击者会利用受感染的目标设备实施DDoS攻击并执行垃圾邮件发布行为。

为了单纯对暗网之内的攻击行为进行分析，研究人员们对来自Tor代理的流量进行了过滤，并发现攻击数量随即出现了快速下降。

通过分析得出的第二项结论在于，尽管来自Tor代理的攻击活动主要由自动化工具负责实施，但来自暗网之内的攻击则大多以手动方式作为实施途径。这份报道补充称：

“来自公开互联网的攻击者更倾向于利用自动化攻击工具，而暗网攻击者则大多出于警惕性的考虑投入大量时间执行手动攻击。举例来说，一旦他们通过WebShell接入目标系统，其会通过罗列目录、检查数据库内容以及检索配置/系统文件等方式收集与该服务器相关之信息。”

“这些手动型攻击者通常会删除其放置在我们蜜罐当中的一切文件，有些甚至会为我们留下留言（包括‘欢迎来到蜜罐！’），以表明他们已经意识到我们设置蜜罐的作法。”

研究结果证实，在暗网当中活动的各恶意组织似乎也在相互攻击。暗网内的黑客曾经进行以下攻击活动：

· 尝试对蜜罐业务进行破坏，同时宣传可能由该攻击者负责运行的网站。

· 尝试对传入及传出我们蜜罐的通信内容进行劫持与监视。

· 从伪装的FTP文件服务器当中窃取机密数据。

· 通过登录至模拟聊天平台监控IRC对话。

· 针对负责运行地下论坛的定制化应用程序发起手动攻击。

让我们用以下声明总结本次发布的研究报告：“很明显，黑客盗亦有道纯属胡说八道。”