压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

工作來源

ACSAC 2022

工作背景

觀測(cè)互聯(lián)網(wǎng)威脅的主要途徑是蜜罐、互聯(lián)?望遠(yuǎn)鏡、暗?或?洞，以及從?量異構(gòu)源收集防?墻和 IDS ?志。由于互聯(lián)網(wǎng)威脅狀況已經(jīng)發(fā)生了變化，分布式蜜罐的可用性是否發(fā)生了變化？

工作準(zhǔn)備

利用 Rapid7 在 2020 年 7 月到 2021 年 6 月間部署的 662 個(gè)蜜罐，收集了 70 億個(gè)連接總計(jì) 8.06 億個(gè)告警。告警并不集中，平均每天約 220 萬告警：

信息泄露類占總體告警的 42.3%，協(xié)議命令解碼類占總體告警的 41.1%，合計(jì)達(dá)到總體告警的 83.4%。

服務(wù)分布情況如下所示，超過四分之一的告警都與 FTP 有關(guān)：

從端口來看，大約 22 個(gè)端口占到總告警的 60%：

告警與 237 個(gè)國家或地區(qū)的 280 萬臺(tái)主機(jī)有關(guān)，聚合統(tǒng)計(jì)后 10% 的告警來? 8 個(gè) C 類??，? 50%、75% 與 90% 的告警源? 177、1348、15533 個(gè) C 類??。同樣，大約 10%、50%、75% 與 90% 的告警來自 5、88、532 和 2618 個(gè) B 類??。

美國和俄羅斯大概占了四成的告警，十個(gè)國家共計(jì)占比達(dá)到 75%。

其中，70% 與 90% 的告警分別源? 104 個(gè)自治系統(tǒng)與 358 個(gè)自治系統(tǒng)。

告警成因如下所示，大量告警由漏洞利用產(chǎn)生：

工作評(píng)估

利用各種信息來描述威脅：

攻擊向量

主要研究了惡意軟件、暴?破解、權(quán)限升級(jí)與基于漏洞的四種攻擊向量。

惡意軟件

主要研究傳統(tǒng) PC 惡意軟件、IoT 惡意軟件與挖礦惡意軟件三類。與 IoT 惡意軟件相比，挖礦與傳統(tǒng) PC 惡意軟件在地區(qū)分布上更為集中，少數(shù)國家占比就能超過 75%。

具體來說，國家或地區(qū)的情況如下所示：

相關(guān)的惡意軟件各種各樣，例如 PurpleFox、Android Cerberus、Mirai、Gafgyt、Android Roamingmantis、njRat 與 Magnetcore 等，作者在文中也介紹了部分案例。特別的，發(fā)現(xiàn)了針對(duì)烏茲別克斯坦?權(quán)活動(dòng)人士的間諜軟件 FinSpy。

漏洞利用

IoT 的漏洞利用攻擊只能占到所有漏洞利用的 2.6%，絕大多數(shù)漏洞都是針對(duì) SMB、Web 的。并且，EternalBlue、Heart bleed 和 Shellshock 這些老漏洞仍有著廣泛的在野攻擊。

如前圖所示，Shellshock 在其他國家?guī)缀踅^跡，中國反而一騎絕塵。美國在各種漏洞利用上都占比很大，尤其是 Heartbleed。而永恒之藍(lán)是越南占比最高。RDP 占比最高在俄羅斯，暴力破解占比最高在愛爾蘭，Telnet 占比最高在韓國。

暴力破解

99.93% 的暴力破解都與 SSH 協(xié)議有關(guān)，針對(duì)電子郵件服務(wù)于 MySQL 服務(wù)相對(duì)較少。

少數(shù)國家貢獻(xiàn)了超過 90% 的告警，并且大多數(shù)攻擊都來自較小的國家或地區(qū)。

權(quán)限提升

針對(duì)不同版本的 SMB、Web 應(yīng)用程序與 RDP 等服務(wù)，攻擊者會(huì)嘗試獲取額外權(quán)限。2002 年披露的兩個(gè) SNMP 漏洞（CVE-2002-0012 與 CVE-2002-001）出現(xiàn)最為頻繁，其次是 SMB 的 SMBGhost 漏洞（CVE-2020-079）等。

攻擊面

Web 應(yīng)用

Web 應(yīng)用的告警分布在 22856 個(gè)端口上，大多數(shù)告警都針對(duì) 8088（92.5%）、7001（1.6%）與 80（1.2%）。

按照 OWASTP TOP 10 來歸類，如下所示：

RDP

最常見的 RDP 的端口包括 3389、3391、3390、3395 與 3393。所有 RDP 告警中，0.5% 會(huì)利用漏洞來獲取額外的權(quán)限，20.3% 來自互聯(lián)網(wǎng)掃描器。

SMB

SMB 告警占所有告警的 6.6%，其中 47.9% 來自漏洞利用，37.8% 來自遠(yuǎn)程代碼執(zhí)行。除了漏洞外，空會(huì)話行為也會(huì)創(chuàng)建大量告警。訪問 IPC$ 創(chuàng)建的 SMB 告警，占比達(dá)到 50.4%。

Telnet

針對(duì)的目標(biāo)端口是 23 與 9530，相關(guān)的報(bào)警絕大多數(shù)都與 IoT 惡意軟件有關(guān)。

影響

DoS 攻擊

大多數(shù)攻擊針對(duì)的是 IRC、SSH、RDP 與 Web 應(yīng)用程序。

99.63% 的 DoS 告警都濫用弱口令，大約 50.4% 的告警與 DDoS 有關(guān)。DDoS 告警中，19.9% 的告警與 NTP 反射放大攻擊有關(guān)，30.5% 與 IoT 惡意軟件有關(guān)。

信息泄露

11.9% 的告警與漏洞有關(guān)，11.5% 與 Web 應(yīng)用程序有關(guān)。

威脅趨勢(shì)

已知的持續(xù)攻擊

與 13 年前的研究對(duì)比，大多數(shù)表現(xiàn)出攻擊的 AS 仍然還是很活躍。Fire 對(duì)自治系統(tǒng)的跟蹤與本文件有 71% 的重合，惡意的仍然還是惡意的。

利用十年前漏洞發(fā)起攻擊的告警占比達(dá)到 5%，最早甚至可追溯到 1999 年。38 個(gè)舊的漏洞中 17 個(gè)詳細(xì)情況如下所示：

惡意軟件新趨勢(shì)

一共分了六大類：Banking、Fileless、Stealer/Keyloggers、Critical Infrastructure、Spyware 與 Government。大約 74.3% 的告警，都可以分到這六類中。盡管大多數(shù)攻擊行動(dòng)都被歸類為 Stealer/Keyloggers，但只占告警總量的 9%。

漏洞利用新趨勢(shì)

有子網(wǎng)使用了該段 256 臺(tái)主機(jī)中的 254 臺(tái)對(duì)外進(jìn)行 SMBGhost 攻擊。

產(chǎn)生告警最多的子網(wǎng)，100 臺(tái)主機(jī)對(duì)外進(jìn)行攻擊：

攻擊在一開始只來源于少數(shù)國家，很快擴(kuò)散開到全世界都有這種攻擊。

工作思考

測(cè)量類的工作往往是覆蓋面越大越好，這個(gè)工作的量級(jí)也很大但對(duì)數(shù)據(jù)的分析感覺并不是很深入。是不是這種數(shù)據(jù)能分析出的內(nèi)容就是有限的呢？如果是這樣的話，某某感知的工作又該如何呢？

來源：威脅棱鏡