ACSAC 2022
观测互联网威胁的主要途径是蜜罐、互联⽹望远镜、暗⽹或⿊洞,以及从⼤量异构源收集防⽕墙和 IDS ⽇志。由于互联网威胁状况已经发生了变化,分布式蜜罐的可用性是否发生了变化?
利用 Rapid7 在 2020 年 7 月到 2021 年 6 月间部署的 662 个蜜罐,收集了 70 亿个连接总计 8.06 亿个告警。告警并不集中,平均每天约 220 万告警:
信息泄露类占总体告警的 42.3%,协议命令解码类占总体告警的 41.1%,合计达到总体告警的 83.4%。
服务分布情况如下所示,超过四分之一的告警都与 FTP 有关:
从端口来看,大约 22 个端口占到总告警的 60%:
告警与 237 个国家或地区的 280 万台主机有关,聚合统计后 10% 的告警来⾃ 8 个 C 类⼦⽹,⽽ 50%、75% 与 90% 的告警源⾃ 177、1348、15533 个 C 类⼦⽹。同样,大约 10%、50%、75% 与 90% 的告警来自 5、88、532 和 2618 个 B 类⼦⽹。
美国和俄罗斯大概占了四成的告警,十个国家共计占比达到 75%。
其中,70% 与 90% 的告警分别源⾃ 104 个自治系统与 358 个自治系统。
告警成因如下所示,大量告警由漏洞利用产生:
利用各种信息来描述威胁:
主要研究了恶意软件、暴⼒破解、权限升级与基于漏洞的四种攻击向量。
主要研究传统 PC 恶意软件、IoT 恶意软件与挖矿恶意软件三类。与 IoT 恶意软件相比,挖矿与传统 PC 恶意软件在地区分布上更为集中,少数国家占比就能超过 75%。
具体来说,国家或地区的情况如下所示:
相关的恶意软件各种各样,例如 PurpleFox、Android Cerberus、Mirai、Gafgyt、Android Roamingmantis、njRat 与 Magnetcore 等,作者在文中也介绍了部分案例。特别的,发现了针对乌兹别克斯坦⼈权活动人士的间谍软件 FinSpy。
IoT 的漏洞利用攻击只能占到所有漏洞利用的 2.6%,绝大多数漏洞都是针对 SMB、Web 的。并且,EternalBlue、Heart bleed 和 Shellshock 这些老漏洞仍有着广泛的在野攻击。
如前图所示,Shellshock 在其他国家几乎绝迹,中国反而一骑绝尘。美国在各种漏洞利用上都占比很大,尤其是 Heartbleed。而永恒之蓝是越南占比最高。RDP 占比最高在俄罗斯,暴力破解占比最高在爱尔兰,Telnet 占比最高在韩国。
99.93% 的暴力破解都与 SSH 协议有关,针对电子邮件服务于 MySQL 服务相对较少。
少数国家贡献了超过 90% 的告警,并且大多数攻击都来自较小的国家或地区。
针对不同版本的 SMB、Web 应用程序与 RDP 等服务,攻击者会尝试获取额外权限。2002 年披露的两个 SNMP 漏洞(CVE-2002-0012 与 CVE-2002-001)出现最为频繁,其次是 SMB 的 SMBGhost 漏洞(CVE-2020-079)等。
Web 应用的告警分布在 22856 个端口上,大多数告警都针对 8088(92.5%)、7001(1.6%)与 80(1.2%)。
按照 OWASTP TOP 10 来归类,如下所示:
最常见的 RDP 的端口包括 3389、3391、3390、3395 与 3393。所有 RDP 告警中,0.5% 会利用漏洞来获取额外的权限,20.3% 来自互联网扫描器。
SMB 告警占所有告警的 6.6%,其中 47.9% 来自漏洞利用,37.8% 来自远程代码执行。除了漏洞外,空会话行为也会创建大量告警。访问 IPC$ 创建的 SMB 告警,占比达到 50.4%。
针对的目标端口是 23 与 9530,相关的报警绝大多数都与 IoT 恶意软件有关。
大多数攻击针对的是 IRC、SSH、RDP 与 Web 应用程序。
99.63% 的 DoS 告警都滥用弱口令,大约 50.4% 的告警与 DDoS 有关。DDoS 告警中,19.9% 的告警与 NTP 反射放大攻击有关,30.5% 与 IoT 恶意软件有关。
11.9% 的告警与漏洞有关,11.5% 与 Web 应用程序有关。
与 13 年前的研究对比,大多数表现出攻击的 AS 仍然还是很活跃。Fire 对自治系统的跟踪与本文件有 71% 的重合,恶意的仍然还是恶意的。
利用十年前漏洞发起攻击的告警占比达到 5%,最早甚至可追溯到 1999 年。38 个旧的漏洞中 17 个详细情况如下所示:
一共分了六大类:Banking、Fileless、Stealer/Keyloggers、Critical Infrastructure、Spyware 与 Government。大约 74.3% 的告警,都可以分到这六类中。尽管大多数攻击行动都被归类为 Stealer/Keyloggers,但只占告警总量的 9%。
有子网使用了该段 256 台主机中的 254 台对外进行 SMBGhost 攻击。
产生告警最多的子网,100 台主机对外进行攻击:
攻击在一开始只来源于少数国家,很快扩散开到全世界都有这种攻击。
测量类的工作往往是覆盖面越大越好,这个工作的量级也很大但对数据的分析感觉并不是很深入。是不是这种数据能分析出的内容就是有限的呢?如果是这样的话,某某感知的工作又该如何呢?