衡量互联网设备的日常威胁

工作来源

ACSAC 2022

工作背景

观测互联网威胁的主要途径是蜜罐、互联⽹望远镜、暗⽹或⿊洞，以及从⼤量异构源收集防⽕墙和 IDS ⽇志。由于互联网威胁状况已经发生了变化，分布式蜜罐的可用性是否发生了变化？

工作准备

利用 Rapid7 在 2020 年 7 月到 2021 年 6 月间部署的 662 个蜜罐，收集了 70 亿个连接总计 8.06 亿个告警。告警并不集中，平均每天约 220 万告警：

信息泄露类占总体告警的 42.3%，协议命令解码类占总体告警的 41.1%，合计达到总体告警的 83.4%。

服务分布情况如下所示，超过四分之一的告警都与 FTP 有关：

从端口来看，大约 22 个端口占到总告警的 60%：

告警与 237 个国家或地区的 280 万台主机有关，聚合统计后 10% 的告警来⾃ 8 个 C 类⼦⽹，⽽ 50%、75% 与 90% 的告警源⾃ 177、1348、15533 个 C 类⼦⽹。同样，大约 10%、50%、75% 与 90% 的告警来自 5、88、532 和 2618 个 B 类⼦⽹。

美国和俄罗斯大概占了四成的告警，十个国家共计占比达到 75%。

其中，70% 与 90% 的告警分别源⾃ 104 个自治系统与 358 个自治系统。

告警成因如下所示，大量告警由漏洞利用产生：

工作评估

利用各种信息来描述威胁：

攻击向量

主要研究了恶意软件、暴⼒破解、权限升级与基于漏洞的四种攻击向量。

恶意软件

主要研究传统 PC 恶意软件、IoT 恶意软件与挖矿恶意软件三类。与 IoT 恶意软件相比，挖矿与传统 PC 恶意软件在地区分布上更为集中，少数国家占比就能超过 75%。

具体来说，国家或地区的情况如下所示：

相关的恶意软件各种各样，例如 PurpleFox、Android Cerberus、Mirai、Gafgyt、Android Roamingmantis、njRat 与 Magnetcore 等，作者在文中也介绍了部分案例。特别的，发现了针对乌兹别克斯坦⼈权活动人士的间谍软件 FinSpy。

漏洞利用

IoT 的漏洞利用攻击只能占到所有漏洞利用的 2.6%，绝大多数漏洞都是针对 SMB、Web 的。并且，EternalBlue、Heart bleed 和 Shellshock 这些老漏洞仍有着广泛的在野攻击。

如前图所示，Shellshock 在其他国家几乎绝迹，中国反而一骑绝尘。美国在各种漏洞利用上都占比很大，尤其是 Heartbleed。而永恒之蓝是越南占比最高。RDP 占比最高在俄罗斯，暴力破解占比最高在爱尔兰，Telnet 占比最高在韩国。

暴力破解

99.93% 的暴力破解都与 SSH 协议有关，针对电子邮件服务于 MySQL 服务相对较少。

少数国家贡献了超过 90% 的告警，并且大多数攻击都来自较小的国家或地区。

权限提升

针对不同版本的 SMB、Web 应用程序与 RDP 等服务，攻击者会尝试获取额外权限。2002 年披露的两个 SNMP 漏洞（CVE-2002-0012 与 CVE-2002-001）出现最为频繁，其次是 SMB 的 SMBGhost 漏洞（CVE-2020-079）等。

攻击面

Web 应用

Web 应用的告警分布在 22856 个端口上，大多数告警都针对 8088（92.5%）、7001（1.6%）与 80（1.2%）。

按照 OWASTP TOP 10 来归类，如下所示：

RDP

最常见的 RDP 的端口包括 3389、3391、3390、3395 与 3393。所有 RDP 告警中，0.5% 会利用漏洞来获取额外的权限，20.3% 来自互联网扫描器。

SMB

SMB 告警占所有告警的 6.6%，其中 47.9% 来自漏洞利用，37.8% 来自远程代码执行。除了漏洞外，空会话行为也会创建大量告警。访问 IPC$ 创建的 SMB 告警，占比达到 50.4%。

Telnet

针对的目标端口是 23 与 9530，相关的报警绝大多数都与 IoT 恶意软件有关。

影响

DoS 攻击

大多数攻击针对的是 IRC、SSH、RDP 与 Web 应用程序。

99.63% 的 DoS 告警都滥用弱口令，大约 50.4% 的告警与 DDoS 有关。DDoS 告警中，19.9% 的告警与 NTP 反射放大攻击有关，30.5% 与 IoT 恶意软件有关。

信息泄露

11.9% 的告警与漏洞有关，11.5% 与 Web 应用程序有关。

威胁趋势

已知的持续攻击

与 13 年前的研究对比，大多数表现出攻击的 AS 仍然还是很活跃。Fire 对自治系统的跟踪与本文件有 71% 的重合，恶意的仍然还是恶意的。

利用十年前漏洞发起攻击的告警占比达到 5%，最早甚至可追溯到 1999 年。38 个旧的漏洞中 17 个详细情况如下所示：

恶意软件新趋势

一共分了六大类：Banking、Fileless、Stealer/Keyloggers、Critical Infrastructure、Spyware 与 Government。大约 74.3% 的告警，都可以分到这六类中。尽管大多数攻击行动都被归类为 Stealer/Keyloggers，但只占告警总量的 9%。

漏洞利用新趋势

有子网使用了该段 256 台主机中的 254 台对外进行 SMBGhost 攻击。

产生告警最多的子网，100 台主机对外进行攻击：

攻击在一开始只来源于少数国家，很快扩散开到全世界都有这种攻击。

工作思考

测量类的工作往往是覆盖面越大越好，这个工作的量级也很大但对数据的分析感觉并不是很深入。是不是这种数据能分析出的内容就是有限的呢？如果是这样的话，某某感知的工作又该如何呢？

原文始发于微信公众号（威胁棱镜）：衡量互联网设备的日常威胁