技能等級分類
Trap 根據觀察到的行為將攻擊者分為三個層級:Script Kiddie
| 指標 | 範例 |
|---|---|
| 使用未經修改的公開工具 | 使用預設字典執行 Hydra |
| 僅嘗試預設憑證 | admin/admin、root/password、root/123456 |
| 無後期利用活動 | 成功登入後斷線 |
| 高量、低精密度 | 數百次使用常見密碼的登入嘗試 |
Advanced
| 指標 | 範例 |
|---|---|
| 修改工具參數 | 自訂字典、調整掃描時序 |
| 嘗試多種攻擊類型 | 先嘗試 SSH,然後 HTTP,然後 MySQL |
| 基本後期利用 | 執行 uname -a、cat /etc/passwd、檢查其他主機 |
| 內部網路掃描 | 獲取存取後探測 RFC 1918 位址 |
APT(進階持續性威脅)
| 指標 | 範例 |
|---|---|
| 自訂 payload | 非標準攻擊碼、編譯的二進位檔 |
| 低速慢行手法 | 長時間內少量連線 |
| 建立持久化 | 安裝 cron 工作、修改 SSH 金鑰、植入後門 |
| 針對性行為 | 搜尋特定檔案、資料庫或設定 |
| 反取證 | 清除日誌、修改時間戳 |
分類信號
憑證分析
憑證分析
- 預設憑證(admin/admin、root/root):Script Kiddie
- 憑證清單(來自已知字典的連續嘗試):Script Kiddie 至 Advanced
- 針對性憑證(組織特定的使用者名稱、先前洩露的密碼):Advanced 至 APT
命令精密度
命令精密度
- 單一命令(whoami、id、uname -a):Script Kiddie
- 串連命令(列舉腳本、權限提升嘗試):Advanced
- 自訂工具(混淆腳本、記憶體駐留 payload、反偵測):APT
行為模式
行為模式
- 快速且嘈雜(快速連線嘗試、無暫停):Script Kiddie
- 中等節奏(嘗試間有延遲、有一些適應):Advanced
- 緩慢且謹慎(長時間停留、仔細列舉、反取證):APT
意圖分析
Trap 分析行為模式將攻擊者意圖分為 6 個類別:| 意圖 | 指標 | MITRE 戰術 |
|---|---|---|
| 偵察 | 埠掃描、服務列舉、作業系統指紋辨識 | TA0043 |
| 暴力破解 | 高量憑證嘗試、字典攻擊 | TA0006 |
| 利用 | 已知 CVE payload、緩衝區溢位嘗試、注入攻擊 | TA0001 |
| 橫向移動 | 內部網路掃描、SMB 列舉、SSH 樞紐 | TA0008 |
| 資料外洩 | 檔案下載命令、資料編碼、出站傳輸 | TA0010 |
| 持久化 | Cron 工作建立、SSH 金鑰修改、後門安裝 | TA0003 |
MITRE ATT&CK 對應
每個攻擊者動作都對應至相關的 MITRE ATT&CK 技術:| 觀察到的行為 | 技術 ID | 技術名稱 |
|---|---|---|
| SSH 密碼猜測 | T1110.001 | Password Guessing |
| 憑證填充 | T1110.004 | Credential Stuffing |
| Web Shell 上傳 | T1505.003 | Web Shell |
cat /etc/passwd | T1087.001 | Local Account Discovery |
| 內部埠掃描 | T1046 | Network Service Scanning |
| Cron 工作建立 | T1053.003 | Cron |
| SSH 金鑰修改 | T1098.004 | SSH Authorized Keys |
| wget/curl 下載 | T1105 | Ingress Tool Transfer |
檔案報告
透過 CLI 查看攻擊者檔案:收集的情報
憑證資料庫
記錄所有嘗試的使用者名稱/密碼組合:命令記錄
蜜罐工作階段中執行的每個命令都附帶時間戳記錄:情報流程
Threat Cloud 整合
攻擊者檔案在分享前進行匿名化:| 分享的資料 | 匿名化方式 |
|---|---|
| 來源 IP | /16 遮罩(最後兩個八位元組歸零) |
| 憑證 | 雜湊化(SHA-256),永遠不以明文分享 |
| 命令 | 清除環境特定資料 |
| 技能分類 | 原樣分享 |
| 意圖分析 | 原樣分享 |
攻擊者檔案跨工作階段持久化。如果同一 IP 在數天後再次出現,Trap 會將新活動與現有檔案關聯,並可能根據新證據升級技能等級分類。可透過
--no-cloud 在氣隙環境中停用 Threat Cloud 分享。