1. 前言
对网络安全而言,2017年是一个不平凡的一年,数据泄漏、勒索蠕虫、重大漏洞、数字货币挖矿等安全事件频发,且愈演愈烈……
于2018年新年伊始之际,我们将2017年蜜计划(蜜罐)工作和大家做了个分享。
2. 蜜计划部署情况
截止到2017年12月,水滴安全团队的蜜计划在全球一共部署了24个蜜罐节点,其中国内节点9个,国外节点15个。
蜜计划部署拓扑图:
3. 数据分析
3.1 数据总体分析
蜜罐在2017年度(1月~12月),共捕获到恶意攻击日志1800W条,其中恶意IP数量为40W个,攻击日志每天近5W条,随着节点的增多攻击日志还会继续增加。
从上图的增长曲线我们可以看到,蜜罐数据两次大规模增长分别发生在6-7月,6月份增加了6个国内云主机,7月份增加了6个国外的云主机,在8月份蜜罐捕获到的攻击达到顶峰(经过分析发现主要原因有两点,分别是永恒之蓝漏洞跟IoT僵尸网络有关,详情见后文),9月份之后趋于平稳,月均日志量达到150W左右。
以下是近一年来,蜜罐捕获到的攻击IP的地理分布情况:
可以发现攻击IP遍布世界各地,其中30%以上的攻击来自中国,国外的攻击主要集中在东南亚、美国和韩国。
攻击国家TOP 10
对来自中国境内的攻击又做了进一步的分析,整理出了国内的攻击城市TOP 10如下:
发现国内的攻击主要来自北京上海广州等地区。
攻击IP统计
攻击端口统计
通过对端口数据的分析,可以看到黑客对哪些服务感兴趣,主要是23(TELNET)、22(SSH)、445(SMB)、1433(MSSQL)、3306(MYSQL)、9200(ES),通过对这些服务进行攻击可以很容易达到控制目标主机的目的,是黑客最喜欢也是投入与产出比最高的攻击方式。
3.1 蜜罐数据分析
截止到2017年12月20日,SSH蜜罐共捕获用户名字典5W个,密码字典22W个,用户名密码组合30W个,以下为各个类型统计:
用户名TOP 10
密码TOP 10
用户名密码组合TOP 10
通过以上分析,可以看到enable/system、root/root依然是黑客喜欢的爆破组合,同时123456依然是黑客爆破的必选密码。
3.2 蜜罐攻击行为分析
黑客入侵蜜罐成功后,会执行相关命令,我们通过对这部分数据进行分析,发现黑客的攻击行为主要有三种,一种是将蜜罐作为肉鸡进行长期控制,形成僵尸网络,进而完成DDOS等下一步攻击动作;另一种是将蜜罐作为openvpn代理服务器,进行免流灰产获利。第三种是利用肉鸡挖矿,进行数字货币牟利。下面对这两种攻击手段进行进一步分析。
3.2.1 僵尸网络
黑客入侵蜜罐后会执行类似如下命令,从远程服务器下载木马程序并执行,从而到达长期控制肉鸡的目的:
(我们拿其中的一个攻击进行举例说明)
蜜罐捕获的攻击命令
通过分析,发现远程服务器是用HFS搭建,有三个样本,样本666是针对ARM架构设备的,下载量是3000+,样本s360,s361是针对x86架构的ELF文件,下载量各在200+
对样本进行分析,发现这是一个DDoS的远控木马:
黑客通过这种方式批量抓鸡,然后形成僵尸网络,通过控制端程序下发指令,发动DDoS攻击:
僵尸网络控制端
3.2.2 免流灰产
在对攻击日志进行分析时,发现了另一种攻击行为,黑客在入侵蜜罐后会去远程服务器下载一个脚本,该脚本的功能是搭建一个openvpn的服务,这一操作引起了我们的注意,于是对这一行为进行了跟踪。
(拿其中的一个攻击进行举例说明)
通过分析日志,拿到了远程服务器地址:http://www.sxhualv.com/
发现这是一个做免流服务的平台:
黑客利用黑下的服务器搭建该平台的流控软件,然后利用别的途径(比如淘宝)兜售手机免流软件,从中牟利,以下是来自淘宝的截图:
3.2.3 数字货币挖矿
通过分析蜜罐日志,发现了黑客的又一种牟利行为--数字货币挖矿。尤其是今年下半年,随着比特币市值的疯涨,各种数字数字货币的价格也是翻了近20倍,于是黑客通过漏洞植入挖矿软件,进行挖矿。截止到12月,蜜罐共捕获10款挖矿软件,主要针对门罗币(XMR)、以太币(ETN),以下为挖矿软件列表:
拿其中一个门罗币挖矿进行分析,软件植入的方式有两种,一种是爆破telnet或者ssh服务,另一种是通过漏洞(永恒之蓝、Struts2等),软件运行截图如下:
配置文件保存了矿池地址以及门罗币钱包:
可以在矿池输入对应的钱包地址查看目前已经挖到的门罗币数量:
3.3 活跃样本捕获
截止到2017年12月20日,蜜罐共捕获黑客下载服务器1702个:
捕获现网活跃恶意样本2037个:
3.3.1 僵尸网络发现(一)
案例如下:
分布在全国各地的蜜罐系统在2017年5月16日15:47分收到一条告警信息,发现有黑客入侵了我们的蜜罐系统,并尝试下载木马执行,我们迅速对这一事件进行响应分析,并通过技术手段反渗透到黑客服务器,获取了进一步的信息,发现了两个僵尸网络控制端“神起 ddos 集群”、“台风 DDOS vip 集群”,截止 2017 年 5月 17 日期间最少拥有上千台的肉鸡组成的僵尸网络,通过监测发现僵尸网络控制的肉鸡日活量在不断增加,又通过溯源手段定位到了僵尸网络的实际控制人详细信息,包括 QQ 账号、支付宝账号、地址、个人照片、 网络活动情况等。
我们把这一发现报告给了公安部门,目前公安部门已经立案侦查。
3.3.2 僵尸网络发现(二)
7月底,某省移动现网监测到大量针对23端口的攻击事件,我们迅速开发部署针对TELENT(23端口)协议的蜜罐,部署到现网之后,立刻发现了跟客户同一特征的攻击事件,也可以从文章最开始的数据看到在8月份捕获到了大量的攻击:
拿到最新的样本之后,第一时间分析并撰写发布了《“IoT幽灵”样本分析报告》
http://mp.weixin.qq.com/s/5M3EtSkY_S4rG7oTQWhABw
3.3.3 Wanacry勒索软件发现
2017年5月,黑客利用永恒之蓝漏洞植入Wanacry勒索软件,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
针对这一情况,我们在8月份升级了针对永恒之蓝漏洞的监测,部署到现网之后捕获到了大量利用该漏洞进行传播的样本,包括Wanacry勒索软件变种、门罗币挖矿软件、DDoS僵尸网络等。
4. 蜜罐+沙箱——自动化分析
通过蜜罐与沙箱的联动,将蜜罐捕获到的样本实时传给沙箱进行研判,同时加以人工分析,提取相应网络检测特征规则,用于现网恶意流量监测项目,获取现网最新的攻击数据。
自动化分析流程
沙箱自动研判
现网捕获最新事件
5. 总结
通过对蜜计划数据的分析,我们发现了各种各样的攻击手法;捕获到了最新的现网活跃恶意样本、恶意IP、URL等数据,作为非常有效的威胁情报的数据来源。接下来随着我们蜜罐类型的增多,蜜计划收集到的数据越来越多,这里面包含了很多未知的攻击手法,所以要利用和运营好这些数据,进行深入分析,从而创造出更多的安全价值!
2018——蜜罐SaaS化
最后,透露下我们2018年的蜜罐方面的一些工作计划,2017年10月完成了与公司SaaS平台已实现对接,细节还在完善中,有望在18年上半年对公众免费开放,欢迎有兴趣的小伙伴加入,一起打造一个开放的蜜网和威胁情报平台。