透過蜜罐看威脅:從Telnet到雲
舊有Telnet協議蜜罐一上線就遭到平均每秒2次的攻擊,AWS上設定的雲伺服器蜜罐每分鐘吸引13次攻擊嘗試。
蜜罐資料:Telnet和SSH
保加利亞科學院計算機病毒學國家重點實驗室 Vesselin Bontchev 博士設定的蜜罐每秒遭遇2次Mirai殭屍網路變種攻擊,絕大部分攻擊源自美國,其次源自荷蘭。
儘管已經50歲高齡,路由器、工業控制系統(ICS)等IoT裝置的嵌入式系統應用中卻不乏Telnet的身影,其遠端訪問功能應用非常廣泛。
該蜜罐於2016年設立,Bontchev博士每月公佈一次該蜜罐遭攻擊的情況。他表示:有漏洞的裝置太多太多了。
所有主流雲託管服務提供商都面臨非常嚴重的殭屍網路問題,尤其是DigitalOcean。惡意黑客會濫用他們的服務設立殭屍網路的命令與控制伺服器。
博士報告稱,自己每天都向DigitalOcean傳送100-300個濫用報告(每個報告都包含前一天裡他們被濫用來攻擊我們蜜罐的IP地址),這一直是主要攻擊源,攻擊數量比排第二的攻擊源要多2到5倍。
有些殭屍主機比其他更智慧
博士補充道:他曾預計Mirai的攻擊數量會比其他的高,因為該殭屍網路的原始碼已經公開了,這意味著每一個指令碼小子都能夠嘗試設立自己的殭屍網路。但沒預料到其攻擊數量會如此之高。
我們的Telnet(以及SSH,但SSH流量僅佔5%)蜜罐幾乎每秒承受2次攻擊!這意味著只要你將保持預設口令的裝置直接接入網際網路(比如說沒有放到防火牆後面),該裝置被發現並感染的速度會比你修改其口令的速度要快很多。
攻擊此類蜜罐的流量請求就好像跑停車場裡一輛車一輛車試哪輛車沒鎖。
其他殭屍主機則差異較大,是針對性地設計來攻擊網站的,其背後是更高階的殭屍主機操作員。
比如說,攻擊航空公司,每隔幾分鐘就刮取一遍特定航班的價格;或者用被盜憑證充填金融服務網站,全天候識別有效賬戶;又或者以毫秒級機器手速搶購演唱會門票,再到其他站點溢價倒賣。這些殭屍主機就是被當成賺錢工具部署的。殭屍主機的業務就是撈錢。
雲蜜罐
公眾或許覺得脆弱Telnet埠掃描會很普遍。但網路及終端安全公司Sophos最新發布的報告顯示,雲伺服器漏洞也慘遭無情探測。
Sophos的報告題為《暴露:雲蜜罐上的網路攻擊》,揭示其雲伺服器蜜罐在上線52秒內即遭到網路罪犯的攻擊。該雲伺服器平均每蜜罐每分鐘遭遇13次攻擊嘗試。
該蜜罐設定在全球最流行的10個AWS資料中心裡,包括加利福尼亞、法蘭克福、愛爾蘭、倫敦、孟買、俄亥俄、巴黎、聖保羅、新加坡和悉尼,為期30天。
典型行動路線
Sophos從高互動蜜罐拉取到了殭屍主機的典型行動路線:
1. username: root 、password: admin 登入嘗試成功;
2. 通過HTTPS向Yandex搜尋引擎傳送TCP連線請求;
3. 通過HTTPS向大型零售商的開放API傳送TCP連線請求;
4. 通過HTTPS向大型零售商的開放API轉發TCP請求。
上述過程重複數千次,看起來像是自動化的。但仍能分析該攻擊的步驟。
1. 通過連線知名地址驗證該蜜罐是有效網際網路連線。此處是通過發往Yandex的安全連線請求實現的。Yandex是東歐和俄羅斯常用搜索引擎。
2. 驗證通往目標服務的連線是否可用——通過向屬於大型零售商開放API的遠端IP地址傳送連線請求實現。
3. 使用SSH蜜罐伺服器作為代理,嘗試利用大型零售商的IP地址。
被入侵後,蜜罐就成為了網路罪犯對其他基礎設施發起進一步攻擊的放大裝置。
30天的執行期內,蜜罐遭遇了超過500萬次的攻擊,殭屍網路無休止地掃描開放雲bucket,或者嘗試暴力破解SSH登入憑證。(報告發布時,Sophos同步推出了新的無代理產品 Cloud Optix,主打雲基礎設施暴露緩解功能。)
報告稱:如此之多的暴力破解嘗試背後,是預設使用者名稱及口令所致的持續暴露問題。
比如說,大多數NIX裝置的預設使用者名稱都是 “root“。因此,該使用者名稱位列常見使用者名稱登入嘗試清單榜首毫不令人意外。然而,其規模還是十分驚人:5,447,956次登入中 “root” 就佔了5,211,644次(96%)。由於 “root” 賬戶具備管理員許可權,當殭屍網路達到一定規模的時候,網路罪犯就會利用該特權進行Mirai式的大規模DDoS攻擊。
Sophos稱,登入嘗試和特定技術之間還有其他關聯。
例如,使用者名稱 “pi” 排名登入嘗試使用者名稱的前20位——因為是樹莓派系統的預設使用者名稱。該使用者名稱在蜜罐資料中存在的事實表明,如果錯誤配置或疏忽大意,這些裝置在網際網路上就是裸奔。
除了蜜罐,阿卡邁的 Intelligent Platform 也給出了更廣泛的Web攻擊趨勢。其4月1日至8日的資料顯示垂直行業遭遇了139,110,507次攻擊。
截至目前,最常見的攻擊嘗試是SQL注入——128,230,076次;其次是遠端檔案包含、跨站指令碼和PHP注入。應用程式在資料庫SQL查詢中使用未經清洗的網頁表單資料時就會出現SQL注入漏洞。