0x01.蜜罐整體介紹
隨著威脅情報的興起和虛擬化技術的發展,蜜罐技術也得到了新的發展。可以通過虛擬機來實現高交互蜜罐,以及通過docker實現的業務型蜜罐,不再像是以前需要昂貴硬件設備的部署支撐,大大減少了蜜罐的部署成本。
蜜罐高保真高質量的數據集把安全人員從以前海量日志分析的繁瑣過程中解脫出來,對于蜜罐的連接訪問都是攻擊信息,并且不再像以前的特征分析具有一定的滯后性,可以用于捕獲新型的攻擊和方法。
360天眼實驗室于2016年中旬運營了一套蜜罐系統,發展至今已相對成熟,蜜罐節點遍布世界五大洲,覆蓋了20多個國家,涵蓋企業服務、工控服務等常見端口。
1) 蜜罐部署
目前的蜜罐集群集管理、監控、數據收集與分析,實現基本全自動化流程。
2) 總體數據量
目前我們的蜜罐日志每天以近10W的數量增長。隨著蜜罐數量的增加,這個數據還會進一步增長。
攻擊IP的地理分布圖,攻擊IP遍布全球,其中東南亞和南美最多。
下面是以2016年11月以來的攻擊IP每日訪問情況。其中來自俄羅斯的某IP日訪問日志條數達到88萬條。
攻擊端口統計,可以看出攻擊者對哪些端口比較感興趣,也能在第一時間發現基于某個端口的攻擊事件的爆發。比如,通過統計4月份以來的端口訪問情況,分別發現在4月中旬和5月中旬有對445端口掃描的小高峰,這與SMB漏洞的爆發不無關系。而基于6881端口的訪問存在幾次暴增的訪問流量,可能跟P2P探測有關。
0x02 SSH蜜罐(Cowrie)典型攻擊分析
1)SSH蜜罐分析
下面我們以SSH蜜罐(22端口)來介紹我們通過蜜罐數據發現的典型攻擊。今年4月10日以來成功爆破SSH蜜罐的統計數據,其中4月中旬達到了一個峰值。
蜜罐中發現的用于自動化爆破的用戶名、密碼排行如下。其中,root/12345還是黑客最喜歡探測的賬號口令。
用戶名TOP 10:
密碼TOP 10:
攻擊者在成功入侵蜜罐后,一般都會執行相關命令。比較靠前的有意思的命令如下,其中來自法國的46.218.149.85頻繁在眾多命令中出現,充當了惡意下載站的角色。
另外,引起全球震驚的Mirai僵尸網絡于2016年10月份曾令美國多個城市出現互聯網癱瘓情況。收集到的Mirai的惡意樣本如下:
2)典型攻擊分析
從蜜罐數據來看,我們選擇了SSH攻擊當中較為常見的兩種:
1)僵尸病毒投放: 通過爆破成功登陸后下載惡意軟件(僵尸病毒),使得機器淪為肉雞,以便實施進一步的攻擊;
2)SSHTunnel跳板攻擊: 將蜜罐作為跳板,利用蜜罐掃描或攻擊其他機器,我們發現的是利用蜜罐去爆破一些金融電商的登錄入口。
a)僵尸病毒投放分析
惡意樣本從命名方式來看,主要有兩種。
第一種是以常見的linux程序來命名,如sh,wget;第二種是以tty來命名。命名方式比較隱蔽,加大了管理人員的排查難度。
我們從中抽取一條典型的攻擊為例進行分析。5月17日,源IP為94.102.52.195對我們的蜜罐進行ssh爆破,然后通過root/admin登陸成功。
進入到shell之后,可以看到挑選了幾個目錄然后通過wget,tftp,ftpget三種方法來下載惡意的shell腳本
通過查看shell腳本發現,3種方式下載的惡意腳本是一樣的,這應該是攻擊者為了確保能下載成功。Shell腳本如下:
 這次攻擊下載的惡意樣本如下:
VirusTotal的檢測結果:
通過比較,這一系列的樣本功能類似,但是適配了不同的CPU架構,保證了能在多個平臺運行。部分功能函數截圖:
可以看出功能很齊全,包括執行命令(processCmd),更新樣本(UpdateBins),獲取公網ip(getOutIP),清除history(ClearHistory)等。其中sendCNC函數引起了我的興趣,google了一下,然后發現了以下部分:
這三個的代碼一樣。查看了一番,發現代碼存在的UserAgent與惡意樣本里的字符串非常相似,經過函數的比較,發現這應該就是攻擊者使用的惡意程序。
而且還有作者的簽名,是由Gr1n1337所寫
其中,最早的一個搜索結果顯示是7個月前所建,而我們最早搜集到的惡意樣本是2016年10月,與該結果相符。而且還帶有該惡意樣本的介紹,是最強大的telnet botnet。
通過源代碼分析,該惡意樣本是一種IOT病毒,分為Client端和Server端,Server端是攻擊者的控制端,Client端會接收控制端的命令執行相應操作,并且會掃描其他存在弱口令的ssh/telnet設備進行傳播。
b) SSHTunel跳板攻擊
我們在分析跳板攻擊方式時,IP為5.45.86.133引起了我們的興趣。
攻擊時間截圖如下,從圖中可以看出該IP在2016年7月開始對我們的蜜罐進行嘗試攻擊,在2017年2月1號攻擊次數達到頂峰28W次,最后在2017年3月31后停止了攻擊。
我們通過蜜罐的日志完整地復現了該IP的攻擊時間線。
2016年7月到9月:
這段時間攻擊者的攻擊行為較少,還處于試探階段,只是請求了幾個IP的80端口。典型的攻擊如下,從5556端口訪問目的IP的80端口
2016年9月到10月:
這段時間,攻擊次數逐漸增多,到9月中旬到達頂峰13000多次。這段時間主要是請求46.4.100.47的80端口和62.210.136.117的81端口。其中46.4.100.47是德國Hetzner Online公司的IP,而62.210.136.117是法國IDC 機房的IP。
2016年10月到11月:
攻擊者沉寂了下去,一個月只有20多條記錄
2016年11月到2017年1月:
攻擊者又開始活躍起來,主要的請求目標還是62.210.136.117,請求大多數集中在11月的下旬,而12月的請求比較平均,12月20號后請求消失
2017年1月到3月:
攻擊者在沉寂了一段時間后,于1月13日活躍了一下,對https://shop.selectflavour.com網站做了一段時間爆破,然后又沉寂到2月初的前3天,這幾天攻擊者的請求有了爆炸式的增長,對多個電商、金融網站進行登陸的暴力破解,其中包括creditonebank和ebay,還有一些Wordpress網站的爆破。
其中,signin.m.ebay.in是Ebay移動端登錄頁面。
關于端口轉發,舉個栗子:
如果知道了跳板機的SSH密碼,使用如下命令即可實現SSH端口轉發:
ssh -f -N -L 3307:172.16.1.30:3306 wanghua@ssh.xyz.com -p8822
從攻擊者的整個時間線來看,他們的攻擊行為是非常有規律的,一旦爆發一次后,就會銷聲匿跡一段時間。持續的時間也比較長,從2016年7月到2017年3月,持續了半年的時間。攻擊的目標非常明確,大部分集中在對于金融和電商的攻擊,而且都是以爆破密碼為主,所以可以猜測應該是一股有組織的團伙在進行批量的撞庫。
0x03.結束語
通過對于SSH蜜罐數據的分析,我們可以找出許多有意思的攻擊手法。同時,通過對日志的分析,我們也可以用時間線將攻擊者的整個攻擊流程做一個完整的梳理。隨著這些數據量的增多,預測攻擊者的下次攻擊也并非不可能,從而形成新的威脅情報。
威脅情報帶動了蜜罐技術的發展,而蜜罐收集的高價值數據反過來對威脅情報也是一個很好的補充,二者相輔相成,缺一不可。
| 
