首先需要说明的是,以下数据来自我们的Telnet和SSH蜜罐,总览如下所示。像往常一样,来自美国的攻击占据了主导地位,不过荷兰的攻击也再次活跃起来。在12月月中的时候,我们对本国(保加利亚)受感染以及攻击行为频繁的机器进行了一系列管控措施。所以保加利亚虽然还在全球前几,但相比以前已经有所下降,希望下个月情况会变得更好。
每小时的活动如下所示,蜜罐平均每秒被攻击2.3次:
近97%的攻击和Telnet有关,其余为SSH:
和最活跃恶意软件有关的前5个网址如下所示,和往常一样,都是Mirai的变种,不过原版不在其中。
而对所有恶意软件的统计也可以查看出,各种Mirai变种(IMO,“Svirtu”也是Mirai变种)占据了主导地位:
前20名攻击行为最频繁的IP的详细信息如下所示,其中和保加利亚有关的IP属于Verdina有限公司,排名第四。
攻击行为最频繁的20个组织中Verdina是保加利亚国内拥大量受感染机器的公司——本月相关的攻击有所减少,但仍接近榜首。和往常一样,最大的攻击源依旧是DigitalOcean(云主机商家):
虽然我们每天向DigitalOcean发送几十份安全报告,但似乎并没有什么帮助:
我们能所监测到的最常用的20个密码,没有什么异常。
现在来到我们的SMB蜜罐。
首先是总预览,虽然越南也很显眼,但大部分活动还是来自俄罗斯和越南。而且针对SMB的攻击比针对Telnet和SSH的攻击要多,不过它们大多数只是扫描,真正上传文件的攻击较少。此外,似乎还有一个僵尸网络正在寻找有漏洞的机器,但并没有攻击它们:
从总数据来看,平均每秒有4.2次攻击。这类统计没有过去详细,是因为蜜罐进行了停机维护。
根据赛门铁克的安全扫描,和往常一样,攻击者所上传的恶意软件有很多是WannaCry的变种(考虑到唯一性)。
即使我们不考虑唯一性,WannaCry的样本也是相当多。
攻击最频繁的20个IP如下所示,都在我们预料之内。不过,塞尔维亚人为公司起的名字真是太长了。
发起攻击最多的20个组织如下所示。
最后是我们的ADB(Android Debug Bridge)蜜罐,远东地区占据了主导地位。
平均每半小时一次攻击。
根据Fortinet的安全扫描,上传到蜜罐的恶意软件中,老款Monero采矿软件产生了大部分ADB流量,此外还有一个有点像Mirai的shell脚本。
攻击最活跃的前20个IP如下所示。
攻击最活跃的前20个组织如下所示。
以上就是2019年12月的蜜罐总结。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3812.html 来源:https://bontchev.nlcv.bas.bg/articles/?y=2020&m=01
来源:freebuf.com 2020-01-06 19:02:32 by: 白帽汇
请登录后发表评论
注册