Büyük Dil Modeli (LLM)-güçlü balpotlar, hızla değişen siber güvenlik alanında tehdit aktörlerini cezbetmek ve incelemek için giderek daha karmaşık araçlar haline geliyor.
Düşük kodlu bir Honeypot çerçevesi olan Beelzebub kullanan yeni bir dağıtım, bu tür sistemlerin kötü niyetli faaliyetleri gerçek zamanlı olarak yakalamak için savunmasız SSH hizmetlerini nasıl simüle edebileceğini gösterdi.
Tek bir YAML dosyasını yapılandırarak, savunucular Openai’nin GPT-4O gibi LLM’ler tarafından desteklenen etkileşimli bir SSH ortamını veya Lama gibi alternatifleri taklit edebilir.
Gelişmiş Honeypot’ları dağıtmak
Kurulum, örnek depoların klonlanmasını, API anahtarlarını içeren yapılandırma parametrelerini düzenlemeyi ve Docker Compose aracılığıyla başlatmayı içerir.
Bu minimalist yaklaşım, Honeypot’un komutlara dinamik olarak yanıt vermesine izin vererek, meşru bir Linux sunucusunu çekirdek sürümleri, çalışma süresi istatistikleri ve süreç sayıları ile taklit eder, böylece saldırganları taktiklerini, tekniklerini ve prosedürlerini (TTPS) ortaya çıkarmaya yönlendirir.
Örneğin, Honeypot, “Admin/123456” gibi belirli zayıf kimlik bilgilerini kabul etmek ve etkileşim sürelerini yönetmek için zaman aşımını uygulamak için ayarlanmış ve adli veriler toplarken kontrollü pozlamayı sağlamak için ayarlanmıştır.
IP Adresinden Yakalanan Oturumun Analizi 45.175.100.69, Honeypot’un kötü amaçlı yazılım dağıtımını ve komut ve kontrol (C2) altyapılarını ortaya çıkarmadaki etkinliğini vurguladı.
“123456” şifresi ile “yönetici” olarak doğrulanan tehdit oyuncusu, “Uname -a”, “çalışma zamanı” ve “NPROC” yoluyla sistem keşiflerinden başlayarak, müfettiş bir Ubuntu sunucusunun yanılsamasını korumak için LLM’den makul yanıtlar alarak bir dizi komut başlattı.
Botnet operasyonlarının maskesi
Sonraki eylemler, geçici dizinlerde gezinmeyi, “SSHD” adlı Perl tabanlı bir arka kapıdan, derin fm.de’deki uzlaşmış bir Joomla CMS sitesinden indirmeyi ve yürütme işlemini, katılımı uzatmak için izinden vazgeçmiş hatalarla simüle ettiği yürütmeyi denemeyi içeriyordu.
Aktör daha sonra kurulum komut dosyaları, ikili dosyalar ve kütüphaneler de dahil olmak üzere botnet bileşenlerini içeren bir “Emech.tar.gz” arşivi getirdi, tekrarlanan indirmeler ve chmod operasyonları için başka bir dizine geçmeden önce bunları çıkarmadan ve manipüle etti, hatta ustaca yeniden yapılandırılan sudo denemelerine yükseldi.
Daha fazla diseksiyon, “SSHD” komut dosyasını, Undernet’in Ix1.undernet.org’a 6667 bağlantı noktasına bağlanacak şekilde yapılandırılmış uzaktan komut yürütmeyi ve hizmet reddi (DOS) saldırılarını kolaylaştıran IRC güdümlü bir arka kapı olarak ortaya çıktı.
Kod analizi, maksimum sekiz eşzamanlı bağlantı, kaçırma için uyku aralıkları ve “Warlock” gibi yönetici işleri gibi, kalıcılık için geçici dizinleri hedefleyen bir Perlbot v2.0 varyant gibi parametreler ortaya çıkar.
Rapora göre, bu kanallara sızarak, araştırmacılar aktör ve enfekte olmuş düğümler arasındaki canlı etkileşimleri gözlemlediler ve Botnet’in koordinasyon için kamu IRC’ye olan güveninin altını çizdi.
Bu zeka hızlı bir şekilde azaltma sağladı: Kanalları UnderNet yöneticilerine bildirmek, C2’yi etkili bir şekilde bozdu ve bu tür ağları sökmek için düşük çaba gösterdi.
Olay, LLM Honeypots’un proaktif tehdit avındaki rolünün altını çiziyor ve pasif tuzakları sadece saldırıları kaydetmekle kalmayıp, aynı zamanda istismar ve ikili dosyaların açıklamalarını da ortaya çıkaran aktif zeka platformlarına dönüştürüyor.
Gerçekçi yanıtları simüle ederek, bu sistemler saldırgan bekleme süresini genişletebilir ve gerçek altyapı riske atmadan kötü amaçlı yazılım ekosistemlerine daha derin bilgiler verebilir.
Tehditler daha otomatik hale geldikçe, AI güdümlü aldatma katmanlarını entegre etmek, savunma cephaneliğinde standart hale gelebilir ve dengeyi botnetlerin ve istismar zincirlerinin erken tespitine ve nötralizasyonuna doğru kaydırabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!