透过蜜罐看威胁:从Telnet到云

旧有Telnet协议蜜罐一上线就遭到平均每秒2次的攻击,AWS上设置的云服务器蜜罐每分钟吸引13次攻击尝试。

蜜罐数据:Telnet和SSH

保加利亚科学院计算机病毒学国家重点实验室 Vesselin Bontchev 博士设置的蜜罐每秒遭遇2次Mirai僵尸网络变种攻击,绝大部分攻击源自美国,其次源自荷兰。

尽管已经50岁高龄,路由器、工业控制系统(ICS)等IoT设备的嵌入式系统应用中却不乏Telnet的身影,其远程访问功能应用非常广泛。

该蜜罐于2016年设立,Bontchev博士每月公布一次该蜜罐遭攻击的情况。他表示:有漏洞的设备太多太多了。

所有主流云托管服务提供商都面临非常严重的僵尸网络问题,尤其是DigitalOcean。恶意黑客会滥用他们的服务设立僵尸网络的命令与控制服务器。

博士报告称,自己每天都向DigitalOcean发送100-300个滥用报告(每个报告都包含前一天里他们被滥用来攻击我们蜜罐的IP地址),这一直是主要攻击源,攻击数量比排第二的攻击源要多2到5倍。

有些僵尸主机比其他更智能

博士补充道:他曾预计Mirai的攻击数量会比其他的高,因为该僵尸网络的源代码已经公开了,这意味着每一个脚本小子都能够尝试设立自己的僵尸网络。但没预料到其攻击数量会如此之高。

我们的Telnet(以及SSH,但SSH流量仅占5%)蜜罐几乎每秒承受2次攻击!这意味着只要你将保持默认口令的设备直接接入互联网(比如说没有放到防火墙后面),该设备被发现并感染的速度会比你修改其口令的速度要快很多。

攻击此类蜜罐的流量请求就好像跑停车场里一辆车一辆车试哪辆车没锁。

其他僵尸主机则差异较大,是针对性地设计来攻击网站的,其背后是更高级的僵尸主机操作员。

比如说,攻击航空公司,每隔几分钟就刮取一遍特定航班的价格;或者用被盗凭证充填金融服务网站,全天候识别有效账户;又或者以毫秒级机器手速抢购演唱会门票,再到其他站点溢价倒卖。这些僵尸主机就是被当成赚钱工具部署的。僵尸主机的业务就是捞钱。

云蜜罐

公众或许觉得脆弱Telnet端口扫描会很普遍。但网络及终端安全公司Sophos最新发布的报告显示,云服务器漏洞也惨遭无情探测。

Sophos的报告题为《暴露:云蜜罐上的网络攻击》,揭示其云服务器蜜罐在上线52秒内即遭到网络罪犯的攻击。该云服务器平均每蜜罐每分钟遭遇13次攻击尝试。

该蜜罐设置在全球最流行的10个AWS数据中心里,包括加利福尼亚、法兰克福、爱尔兰、伦敦、孟买、俄亥俄、巴黎、圣保罗、新加坡和悉尼,为期30天。

典型行动路线

Sophos从高互动蜜罐拉取到了僵尸主机的典型行动路线:

1. username: root 、password: admin 登录尝试成功;

2. 通过HTTPS向Yandex搜索引擎发送TCP连接请求;

3. 通过HTTPS向大型零售商的开放API发送TCP连接请求;

4. 通过HTTPS向大型零售商的开放API转发TCP请求。

上述过程重复数千次,看起来像是自动化的。但仍能分析该攻击的步骤。

1. 通过连接知名地址验证该蜜罐是有效互联网连接。此处是通过发往Yandex的安全连接请求实现的。Yandex是东欧和俄罗斯常用搜索引擎。

2. 验证通往目标服务的连接是否可用——通过向属于大型零售商开放API的远程IP地址发送连接请求实现。

3. 使用SSH蜜罐服务器作为代理,尝试利用大型零售商的IP地址。

被入侵后,蜜罐就成为了网络罪犯对其他基础设施发起进一步攻击的放大设备。

30天的运行期内,蜜罐遭遇了超过500万次的攻击,僵尸网络无休止地扫描开放云bucket,或者尝试暴力破解SSH登录凭证。(报告发布时,Sophos同步推出了新的无代理产品 Cloud Optix,主打云基础设施暴露缓解功能。)

报告称:如此之多的暴力破解尝试背后,是默认用户名及口令所致的持续暴露问题。

比如说,大多数NIX设备的默认用户名都是 “root“。因此,该用户名位列常见用户名登录尝试清单榜首毫不令人意外。然而,其规模还是十分惊人:5,447,956次登录中 “root” 就占了5,211,644次(96%)。由于 “root” 账户具备管理员权限,当僵尸网络达到一定规模的时候,网络罪犯就会利用该特权进行Mirai式的大规模DDoS攻击。

Sophos称,登录尝试和特定技术之间还有其他关联。

例如,用户名 “pi” 排名登录尝试用户名的前20位——因为是树莓派系统的默认用户名。该用户名在蜜罐数据中存在的事实表明,如果错误配置或疏忽大意,这些设备在互联网上就是裸奔。

除了蜜罐,阿卡迈的 Intelligent Platform 也给出了更广泛的Web攻击趋势。其4月1日至8日的数据显示垂直行业遭遇了139,110,507次攻击。

截至目前,最常见的攻击尝试是SQL注入——128,230,076次;其次是远程文件包含、跨站脚本和PHP注入。应用程序在数据库SQL查询中使用未经清洗的网页表单数据时就会出现SQL注入漏洞。

报告《Exposed:Cyberattacks on Cloud Honeypots》地址:

http://www.sophos.com/CloudHoneypotsReport

上一篇:锐捷精彩亮相2019 CHINC 八大创新方案打造智慧医疗新体验

下一篇:四步打造有效ICS安全项目