什麼是蜜罐？

📌 引誘駭客、觀察他們的行為

想像遊樂園裡有一個「假糖果屋」

看起來很甜很好吃，但裡面其實是假的

壞人想偷糖果時，會跑去糖果屋

結果被拍照、錄影，壞人的一舉一動都被記錄下來

種類

• 低互動蜜罐（Low-interaction）
  • 模擬少量服務（例如假網站、假登入頁面）
  • 風險低，容易部署
  • 像「假糖果罐」，只放在桌上吸引人靠近
• 高互動蜜罐（High-interaction）
  • 模擬真實系統（完整作業系統、服務）
  • 可觀察更完整的攻擊手法
  • 風險較高，可能被駭客拿來當跳板

用途

1. 偵測攻擊：看誰在試圖入侵
2. 收集情報：了解駭客的手法與工具
3. 轉移注意力：讓駭客攻擊假系統

比較

攻擊方

• 目標：攻擊者主要針對中小型企業 (SMB)，特別是像醫療診所這樣的目標，因為他們可能防禦較弱，且願意支付贖金以快速恢復營運。
• 方式：攻擊者偏好使用遠端桌面協定 (Remote Desktop Protocol, RDP) 作為初始入侵管道。他們會利用像 Shodan 這類的搜尋引擎，尋找網路上開放 RDP 服務的主機，並對其進行掃描和暴力破解攻擊

防禦方

• 高擬真度蜜罐：研究團隊利用生成式 AI，快速建立一個虛假的醫療診所網站，包含公司名稱、業務描述及員工照片，使其看起來像一個真實存在的企業，以吸引攻擊者上鉤
• 模擬環境：蜜罐的網路架構包含可從外部存取的 Windows 伺服器，及只能在內網存取的網域控制器和工作站，模擬真實的公司網路環境
• 即時監控與情資蒐集：所有在蜜罐網路內的通訊和主機上的事件，都由 Forescout 的解決方案（如 eyeInspect 和 TDR）進行監控，以便即時收集威脅情報

案例

Forescout 的研究團隊使用生成式 AI

快速建立了一個虛假的醫療診所網站

包含所有看似真實的公司資訊與員工照片

藉此吸引駭客攻擊

這個 AI 建立的蜜罐成功吸引到一次勒索軟體攻擊

攻擊者入侵系統後，部署了名為 Phobos 的勒索軟體，將檔案加密並留下勒索訊息

• 取自 https://www.forescout.com/blog/caught-in-the-act-ransomware-attack-sticks-to-our-ai-created-honeypot/

結論

📌 蜜罐裝得越像真的公司，壞人就越有可能相信

蜜罐是一種有趣又實用的資安技術

與防火牆和 IDS/IPS 不同

讓駭客以為發現了目標

卻其實落入企業的監控之中

透過蜜罐，能收集攻擊者的行為模式與工具