2017年度蜜计划（蜜罐工作）总结

1.  前言

对网络安全而言，2017年是一个不平凡的一年，数据泄漏、勒索蠕虫、重大漏洞、数字货币挖矿等安全事件频发，且愈演愈烈……

于2018年新年伊始之际，我们将2017年蜜计划（蜜罐）工作和大家做了个分享。

2.  蜜计划部署情况

截止到2017年12月，水滴安全团队的蜜计划在全球一共部署了24个蜜罐节点，其中国内节点9个，国外节点15个。

蜜计划部署拓扑图：

3.  数据分析

3.1 数据总体分析

 蜜罐在2017年度(1月~12月)，共捕获到恶意攻击日志1800W条，其中恶意IP数量为40W个，攻击日志每天近5W条，随着节点的增多攻击日志还会继续增加。

        从上图的增长曲线我们可以看到，蜜罐数据两次大规模增长分别发生在6-7月，6月份增加了6个国内云主机，7月份增加了6个国外的云主机，在8月份蜜罐捕获到的攻击达到顶峰（经过分析发现主要原因有两点，分别是永恒之蓝漏洞跟IoT僵尸网络有关，详情见后文），9月份之后趋于平稳，月均日志量达到150W左右。

  以下是近一年来，蜜罐捕获到的攻击IP的地理分布情况：

       可以发现攻击IP遍布世界各地，其中30%以上的攻击来自中国，国外的攻击主要集中在东南亚、美国和韩国。

攻击国家TOP 10

对来自中国境内的攻击又做了进一步的分析，整理出了国内的攻击城市TOP 10如下：

发现国内的攻击主要来自北京上海广州等地区。

攻击IP统计

攻击端口统计

通过对端口数据的分析，可以看到黑客对哪些服务感兴趣，主要是23（TELNET）、22（SSH）、445（SMB）、1433（MSSQL）、3306（MYSQL）、9200（ES），通过对这些服务进行攻击可以很容易达到控制目标主机的目的，是黑客最喜欢也是投入与产出比最高的攻击方式。

3.1 蜜罐数据分析

截止到2017年12月20日，SSH蜜罐共捕获用户名字典5W个，密码字典22W个，用户名密码组合30W个，以下为各个类型统计：

用户名TOP 10

密码TOP 10

用户名密码组合TOP 10

通过以上分析，可以看到enable/system、root/root依然是黑客喜欢的爆破组合，同时123456依然是黑客爆破的必选密码。

3.2 蜜罐攻击行为分析

黑客入侵蜜罐成功后，会执行相关命令，我们通过对这部分数据进行分析，发现黑客的攻击行为主要有三种，一种是将蜜罐作为肉鸡进行长期控制，形成僵尸网络，进而完成DDOS等下一步攻击动作；另一种是将蜜罐作为openvpn代理服务器，进行免流灰产获利。第三种是利用肉鸡挖矿，进行数字货币牟利。下面对这两种攻击手段进行进一步分析。

3.2.1 僵尸网络

黑客入侵蜜罐后会执行类似如下命令，从远程服务器下载木马程序并执行，从而到达长期控制肉鸡的目的：

（我们拿其中的一个攻击进行举例说明）

蜜罐捕获的攻击命令

通过分析，发现远程服务器是用HFS搭建，有三个样本，样本666是针对ARM架构设备的，下载量是3000+，样本s360，s361是针对x86架构的ELF文件，下载量各在200+

对样本进行分析，发现这是一个DDoS的远控木马：

黑客通过这种方式批量抓鸡，然后形成僵尸网络，通过控制端程序下发指令，发动DDoS攻击：

僵尸网络控制端

3.2.2 免流灰产

在对攻击日志进行分析时，发现了另一种攻击行为，黑客在入侵蜜罐后会去远程服务器下载一个脚本，该脚本的功能是搭建一个openvpn的服务，这一操作引起了我们的注意，于是对这一行为进行了跟踪。

（拿其中的一个攻击进行举例说明）

通过分析日志，拿到了远程服务器地址：http://www.sxhualv.com/

发现这是一个做免流服务的平台：

        黑客利用黑下的服务器搭建该平台的流控软件，然后利用别的途径（比如淘宝）兜售手机免流软件，从中牟利，以下是来自淘宝的截图：

3.2.3 数字货币挖矿

通过分析蜜罐日志，发现了黑客的又一种牟利行为--数字货币挖矿。尤其是今年下半年，随着比特币市值的疯涨，各种数字数字货币的价格也是翻了近20倍，于是黑客通过漏洞植入挖矿软件，进行挖矿。截止到12月，蜜罐共捕获10款挖矿软件，主要针对门罗币（XMR）、以太币（ETN），以下为挖矿软件列表：

拿其中一个门罗币挖矿进行分析，软件植入的方式有两种，一种是爆破telnet或者ssh服务，另一种是通过漏洞（永恒之蓝、Struts2等），软件运行截图如下：

配置文件保存了矿池地址以及门罗币钱包：

可以在矿池输入对应的钱包地址查看目前已经挖到的门罗币数量：

3.3 活跃样本捕获

截止到2017年12月20日，蜜罐共捕获黑客下载服务器1702个：

捕获现网活跃恶意样本2037个：

3.3.1 僵尸网络发现（一）

案例如下：

分布在全国各地的蜜罐系统在2017年5月16日15：47分收到一条告警信息，发现有黑客入侵了我们的蜜罐系统，并尝试下载木马执行，我们迅速对这一事件进行响应分析，并通过技术手段反渗透到黑客服务器，获取了进一步的信息，发现了两个僵尸网络控制端“神起 ddos 集群”、“台风 DDOS vip 集群”，截止 2017 年 5月 17 日期间最少拥有上千台的肉鸡组成的僵尸网络，通过监测发现僵尸网络控制的肉鸡日活量在不断增加，又通过溯源手段定位到了僵尸网络的实际控制人详细信息，包括 QQ 账号、支付宝账号、地址、个人照片、 网络活动情况等。

我们把这一发现报告给了公安部门，目前公安部门已经立案侦查。

3.3.2 僵尸网络发现（二）

7月底，某省移动现网监测到大量针对23端口的攻击事件，我们迅速开发部署针对TELENT（23端口）协议的蜜罐，部署到现网之后，立刻发现了跟客户同一特征的攻击事件，也可以从文章最开始的数据看到在8月份捕获到了大量的攻击：

拿到最新的样本之后，第一时间分析并撰写发布了《“IoT幽灵”样本分析报告》

http://mp.weixin.qq.com/s/5M3EtSkY_S4rG7oTQWhABw

3.3.3 Wanacry勒索软件发现

    2017年5月，黑客利用永恒之蓝漏洞植入Wanacry勒索软件，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。

    针对这一情况，我们在8月份升级了针对永恒之蓝漏洞的监测，部署到现网之后捕获到了大量利用该漏洞进行传播的样本，包括Wanacry勒索软件变种、门罗币挖矿软件、DDoS僵尸网络等。

4.  蜜罐+沙箱——自动化分析

通过蜜罐与沙箱的联动，将蜜罐捕获到的样本实时传给沙箱进行研判，同时加以人工分析，提取相应网络检测特征规则，用于现网恶意流量监测项目，获取现网最新的攻击数据。

自动化分析流程

沙箱自动研判

现网捕获最新事件

5.  总结

通过对蜜计划数据的分析，我们发现了各种各样的攻击手法；捕获到了最新的现网活跃恶意样本、恶意IP、URL等数据，作为非常有效的威胁情报的数据来源。接下来随着我们蜜罐类型的增多，蜜计划收集到的数据越来越多，这里面包含了很多未知的攻击手法，所以要利用和运营好这些数据，进行深入分析，从而创造出更多的安全价值！

2018——蜜罐SaaS化

最后，透露下我们2018年的蜜罐方面的一些工作计划，2017年10月完成了与公司SaaS平台已实现对接，细节还在完善中，有望在18年上半年对公众免费开放，欢迎有兴趣的小伙伴加入，一起打造一个开放的蜜网和威胁情报平台。