透過蜜罐看威脅:從Telnet到云
責編:gltian |2019-04-17 16:37:09舊有Telnet協議蜜罐一上線就遭到平均每秒2次的攻擊,AWS上設置的云服務器蜜罐每分鐘吸引13次攻擊嘗試。
蜜罐數據:Telnet和SSH
保加利亞科學院計算機病毒學國家重點實驗室 Vesselin Bontchev 博士設置的蜜罐每秒遭遇2次Mirai僵尸網絡變種攻擊,絕大部分攻擊源自美國,其次源自荷蘭。
盡管已經50歲高齡,路由器、工業控制系統(ICS)等IoT設備的嵌入式系統應用中卻不乏Telnet的身影,其遠程訪問功能應用非常廣泛。
該蜜罐于2016年設立,Bontchev博士每月公布一次該蜜罐遭攻擊的情況。他表示:有漏洞的設備太多太多了。
所有主流云托管服務提供商都面臨非常嚴重的僵尸網絡問題,尤其是DigitalOcean。惡意黑客會濫用他們的服務設立僵尸網絡的命令與控制服務器。
博士報告稱,自己每天都向DigitalOcean發送100-300個濫用報告(每個報告都包含前一天里他們被濫用來攻擊我們蜜罐的IP地址),這一直是主要攻擊源,攻擊數量比排第二的攻擊源要多2到5倍。
有些僵尸主機比其他更智能
博士補充道:他曾預計Mirai的攻擊數量會比其他的高,因為該僵尸網絡的源代碼已經公開了,這意味著每一個腳本小子都能夠嘗試設立自己的僵尸網絡。但沒預料到其攻擊數量會如此之高。
我們的Telnet(以及SSH,但SSH流量僅占5%)蜜罐幾乎每秒承受2次攻擊!這意味著只要你將保持默認口令的設備直接接入互聯網(比如說沒有放到防火墻后面),該設備被發現并感染的速度會比你修改其口令的速度要快很多。
攻擊此類蜜罐的流量請求就好像跑停車場里一輛車一輛車試哪輛車沒鎖。
其他僵尸主機則差異較大,是針對性地設計來攻擊網站的,其背后是更高級的僵尸主機操作員。
比如說,攻擊航空公司,每隔幾分鐘就刮取一遍特定航班的價格;或者用被盜憑證充填金融服務網站,全天候識別有效賬戶;又或者以毫秒級機器手速搶購演唱會門票,再到其他站點溢價倒賣。這些僵尸主機就是被當成賺錢工具部署的。僵尸主機的業務就是撈錢。
云蜜罐
公眾或許覺得脆弱Telnet端口掃描會很普遍。但網絡及終端安全公司Sophos最新發布的報告顯示,云服務器漏洞也慘遭無情探測。
Sophos的報告題為《暴露:云蜜罐上的網絡攻擊》,揭示其云服務器蜜罐在上線52秒內即遭到網絡罪犯的攻擊。該云服務器平均每蜜罐每分鐘遭遇13次攻擊嘗試。
該蜜罐設置在全球最流行的10個AWS數據中心里,包括加利福尼亞、法蘭克福、愛爾蘭、倫敦、孟買、俄亥俄、巴黎、圣保羅、新加坡和悉尼,為期30天。
典型行動路線
Sophos從高互動蜜罐拉取到了僵尸主機的典型行動路線:
1. username: root 、password: admin 登錄嘗試成功;
2. 通過HTTPS向Yandex搜索引擎發送TCP連接請求;
3. 通過HTTPS向大型零售商的開放API發送TCP連接請求;
4. 通過HTTPS向大型零售商的開放API轉發TCP請求。
上述過程重復數千次,看起來像是自動化的。但仍能分析該攻擊的步驟。
1. 通過連接知名地址驗證該蜜罐是有效互聯網連接。此處是通過發往Yandex的安全連接請求實現的。Yandex是東歐和俄羅斯常用搜索引擎。
2. 驗證通往目標服務的連接是否可用——通過向屬于大型零售商開放API的遠程IP地址發送連接請求實現。
3. 使用SSH蜜罐服務器作為代理,嘗試利用大型零售商的IP地址。
被入侵后,蜜罐就成為了網絡罪犯對其他基礎設施發起進一步攻擊的放大設備。
30天的運行期內,蜜罐遭遇了超過500萬次的攻擊,僵尸網絡無休止地掃描開放云bucket,或者嘗試暴力破解SSH登錄憑證。(報告發布時,Sophos同步推出了新的無代理產品 Cloud Optix,主打云基礎設施暴露緩解功能。)
報告稱:如此之多的暴力破解嘗試背后,是默認用戶名及口令所致的持續暴露問題。
比如說,大多數NIX設備的默認用戶名都是 “root“。因此,該用戶名位列常見用戶名登錄嘗試清單榜首毫不令人意外。然而,其規模還是十分驚人:5,447,956次登錄中 “root” 就占了5,211,644次(96%)。由于 “root” 賬戶具備管理員權限,當僵尸網絡達到一定規模的時候,網絡罪犯就會利用該特權進行Mirai式的大規模DDoS攻擊。
Sophos稱,登錄嘗試和特定技術之間還有其他關聯。
例如,用戶名 “pi” 排名登錄嘗試用戶名的前20位——因為是樹莓派系統的默認用戶名。該用戶名在蜜罐數據中存在的事實表明,如果錯誤配置或疏忽大意,這些設備在互聯網上就是裸奔。
除了蜜罐,阿卡邁的 Intelligent Platform 也給出了更廣泛的Web攻擊趨勢。其4月1日至8日的數據顯示垂直行業遭遇了139,110,507次攻擊。
截至目前,最常見的攻擊嘗試是SQL注入——128,230,076次;其次是遠程文件包含、跨站腳本和PHP注入。應用程序在數據庫SQL查詢中使用未經清洗的網頁表單數據時就會出現SQL注入漏洞。
報告《Exposed:Cyberattacks on Cloud Honeypots》地址: