保加利亚科学院的12月蜜罐报告 – 作者:白帽汇

首先需要说明的是,以下数据来自我们的Telnet和SSH蜜罐,总览如下所示。像往常一样,来自美国的攻击占据了主导地位,不过荷兰的攻击也再次活跃起来。在12月月中的时候,我们对本国(保加利亚)受感染以及攻击行为频繁的机器进行了一系列管控措施。所以保加利亚虽然还在全球前几,但相比以前已经有所下降,希望下个月情况会变得更好。

22.jpg

每小时的活动如下所示,蜜罐平均每秒被攻击2.3次:

33.jpg

近97%的攻击和Telnet有关,其余为SSH:

44.jpg

和最活跃恶意软件有关的前5个网址如下所示,和往常一样,都是Mirai的变种,不过原版不在其中。

55.jpg

而对所有恶意软件的统计也可以查看出,各种Mirai变种(IMO,“Svirtu”也是Mirai变种)占据了主导地位:

66.jpg

前20名攻击行为最频繁的IP的详细信息如下所示,其中和保加利亚有关的IP属于Verdina有限公司,排名第四。

77.jpg

攻击行为最频繁的20个组织中Verdina是保加利亚国内拥大量受感染机器的公司——本月相关的攻击有所减少,但仍接近榜首。和往常一样,最大的攻击源依旧是DigitalOcean(云主机商家):

88.jpg

虽然我们每天向DigitalOcean发送几十份安全报告,但似乎并没有什么帮助:

99.jpg

我们能所监测到的最常用的20个密码,没有什么异常。

100.jpg

现在来到我们的SMB蜜罐。

首先是总预览,虽然越南也很显眼,但大部分活动还是来自俄罗斯和越南。而且针对SMB的攻击比针对Telnet和SSH的攻击要多,不过它们大多数只是扫描,真正上传文件的攻击较少。此外,似乎还有一个僵尸网络正在寻找有漏洞的机器,但并没有攻击它们:

110.jpg

从总数据来看,平均每秒有4.2次攻击。这类统计没有过去详细,是因为蜜罐进行了停机维护。

120.jpg

根据赛门铁克的安全扫描,和往常一样,攻击者所上传的恶意软件有很多是WannaCry的变种(考虑到唯一性)。

130.jpg

即使我们不考虑唯一性,WannaCry的样本也是相当多。

140.jpg

攻击最频繁的20个IP如下所示,都在我们预料之内。不过,塞尔维亚人为公司起的名字真是太长了。

150.jpg

发起攻击最多的20个组织如下所示。

160.jpg

最后是我们的ADB(Android Debug Bridge)蜜罐,远东地区占据了主导地位。

170.jpg

平均每半小时一次攻击。

180.jpg

根据Fortinet的安全扫描,上传到蜜罐的恶意软件中,老款Monero采矿软件产生了大部分ADB流量,此外还有一个有点像Mirai的shell脚本。

190.jpg

攻击最活跃的前20个IP如下所示。

200.jpg

攻击最活跃的前20个组织如下所示。

210.jpg

以上就是2019年12月的蜜罐总结。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3812.html
来源:https://bontchev.nlcv.bas.bg/articles/?y=2020&m=01

来源:freebuf.com 2020-01-06 19:02:32 by: 白帽汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论