文章总结： 该研究通过部署SSH蜜罐进行长达3年的持续观测，收集了5.46亿个攻击会话，发现攻击行为随安全事件动态调整的特点。重点分析了mdrfckr恶意软件的黑吃黑行为及其与Polycom产品漏洞的关联，同时揭示了俄乌战争期间攻击者将蜜罐作为代理的新攻击模式。研究强调了长期观测对理解网络攻击演化的重要性。 综合评分： 85 文章分类： 威胁情报,恶意软件,网络安全,安全工具,漏洞分析

G.O.S.S.I.P 阅读推荐 2026-04-22 守株待兔

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年4月22日 20:18 上海

在小说阅读器读本章

去阅读

小学语文老师教过我们一个成语——守株待兔，小时候可能觉得这个成语的主人公太傻了，怎么可以就在那里等下一只兔子呢？到了互联网时代，这个行为可能不但不愚蠢，反而还有些价值：比如今天我们要介绍的这项研究工作以及对应的IMC 2025研究论文 Attacks Come to Those Who Wait: Long-Term Observations in an SSH Honeynet 就用了三年多的时间“守株待兔”，深入分析了SSH网络攻击在最近几年的演化趋势。

SSH蜜罐并不是什么新的技术，已经发展了几十年了，对于攻击行为的分析，更像是一种新闻报道：要么有深度有么有广度。本文正是这么一项有耐心的研究：作者从2021年12月开始部署蜜罐，然后持续观察了差不多3年，直到2024年8月才结束实验，这其中总共只关机了48小时，其余的时间一直保持着蜜罐的可用性。经过这么长的时间，他们总共收集到了超过6亿个session，其中和安全攻击相关的session有5.46亿，涉及到85万个不同的IP，这样看起来确实是非常有深度和广度。

大家可能会好奇，作者是怎么部署蜜罐的呢？这里他们是和 Global Cyber Alliance (GCA) 组织合作，用了开源的Cowrie Honeypot suite并进行了自定义，感兴趣的读者也可以去试用一下这个套件。

作者观察了攻击者的行为，发现攻击行为也不全是一致的，有一些攻击只会扫描端口和服务，有些攻击则是尝试爆破然后登录，但是什么也不做，还有一些攻击在登录了之后就开始执行特定的命令。作者统计了所有执行命令的攻击，看哪些对蜜罐系统的状态产生了影响，下图是整个实验期间的统计：

作者还从2025年IEEE S&P论文Hey, Your Secrets Leaked! Detecting and Characterizing Secret Leakage in the Wild（是东南大学、奇安信技术研究院星图实验室与清华大学联合完成的哦）中学到了一个基于regex匹配的技术，用来对攻击中执行的脚本命令进行了分类，在论文的附录里面有一个很大的表，大家可以去看看。

论文还把攻击中涉及到的文件（攻击者上传到蜜罐并使用的文件）进行了归类（下图），作者根据文件的hash去查VirusTotal这种数据库，但是能识别出来具体身份的bot不多，所以继而又进行了行为分析，把这些文件和botnet、挖矿、DDoS攻击关联起来：

在这篇论文中，作者重点讨论的是一个叫做mdrfckr的bot（据说和一个叫做Outlaw Hacking Group的组织相关），因为它是本文调查过程中观测到的最大规模的攻击相关的bot，而且它的行为非常有意思，论文的第9章详细介绍了mdrfckr的攻击行为。mdrfckr在攻击实施后就开始植入自己的公钥，然后用rsync去下载恶意文件。这些看起来都很常规，但是mdrfckr存在很有意思的“黑吃黑”行为：它会去检测机器上是否有另一些恶意软件，比如有一个叫WorkMiner的挖矿木马，如果存在就会移除这个挖矿木马设置的/tmp/auth.sh和/tmp/secure.sh（但是并不阻止挖矿行为），使得攻击者能够解除限制去远程控制这台SSH主机。作者对mdrfckr背后的IP进行了交叉分析，发现和其他一些挖矿、DDoS团伙使用的IP有交集，这说明这背后很可能是同一伙人。而且很有意思的是，作者还发现尽管mdrfckr每天都产生了超过10万的攻击会话（背后是6千个不同的IP），但是有一些阶段它会突然降低攻击流量，不知道是为了减少关注还是把攻击的机器拿去做其他事情了？

本文的研究发现了一个很有意思的现象：灰黑产组织真的是在与时俱进的，就拿SSH口令爆破这种1988年Morris Worm就干过的事情来说，攻击者会根据最近的一些安全事件不断调整尝试策略。比如在整个观察中，作者发现了一个很神奇的口令——“3245gs5662d34”，正常人谁会用这个口令？而且作者还发现，在使用这个口令尝试登录后（当然是被骗登录），攻击行为似乎并没有什么后续了，实际上这个攻击开始于2022年的12月8日UTC时间18:00，后续一共有2400万个session尝试使用这个口令，而且关联到了12.5万个IP地址，这也是在整个观察过程中仅次于mdrfckr的第二大攻击行为。经过一番调查，作者发现这个口令似乎和 Polycom CX600 IP telephone 这个产品有关，而且特别有意思的是，作者还发现，这个攻击和一起商业行为紧密联结：2022年惠普（Hewlett Packard）对 Polycom CX600 IP telephone 的生产商完成了收购，而就在收购之后这个攻击就出现了，这不禁让人浮想联翩啊，可惜这背后的故事没有再往下深挖了（期待有后续）。另外要说的是，这个口令似乎是被人挖出来然后卖给了很多不同的黑产集团？因为mdrfckr也在同一时期使用了这个口令！

在整个观察过程中，恰好遇上了俄乌战争的爆发，作者也发现在网络空间中，安全战场的硝烟味一样浓厚：在2024年初，作者观察到一个很奇怪的攻击模式——攻击者从4个IP连接到了作者部署的180多个蜜罐系统，然后用这些蜜罐去启动了差不多20万个curl请求会话，访问俄乌两国的电商、贸易、数字货币和游戏网站，企图实施攻击，这种攻击模式把蜜罐当成了proxy，这也让作者惊出了一身冷汗：本来以为做了无害化处理，没想到蜜罐依然被攻击者利用了。。。

总之，不管AI在安全研究工作取得了多大的成就，许多深入的分析依旧需要时间去检验，不过说不定在老老实实搞科研这个维度上，AI才是真正吊打人类的？我们期待未来有更多AI辅助的“长期主义”安全研究工作出现。

论文：https://dl.acm.org/doi/10.1145/3730567.3764475

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-04-22 守株待兔》