網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

:SSH 暴力破解趨勢:從云平臺向物聯網設備遷移 | 云鼎實驗室出品

2018-07-13 22:05 推薦: 瀏覽: 243 views 字號:

博彩彩票计划 www.nandk.icu 摘要: 導語:近日,騰訊云發布2018上半年安全專題系列研究報告,該系列報告圍繞云上用戶最常遭遇的安全威脅展開,用數據統計揭露攻擊現狀,通過溯源還原攻擊者手法,讓企業用戶與其他用戶在應對攻擊時有??裳?,并為其提供可靠的安全指南。上篇報告從 DDoS 攻擊的角度揭示了云...

導語:近日,騰訊云發布2018上半年安全專題系列研究報告,該系列報告圍繞云上用戶最常遭遇的安全威脅展開,用數據統計揭露攻擊現狀,通過溯源還原攻擊者手法,讓企業用戶與其他用戶在應對攻擊時有??裳?,并為其提供可靠的安全指南。上篇報告從 DDoS 攻擊的角度揭示了云上攻擊最新趨勢,本篇由同一技術團隊云鼎實驗室分享:「SSH 暴力破解趨勢:從云平臺向物聯網設備遷移 」, 以下簡稱《報告》。

 

一、基本概念

 

SSH 暴力破解是什么?

SSH 暴力破解是一種對遠程登錄設備(比如云服務器)的暴力攻擊,該攻擊會使用各種用戶名、密碼嘗試登錄設備,一旦成功登錄,便可獲得設備權限。本篇報告內容云鼎實驗室從攻擊現狀、捕獲樣本、安全建議等方面展開。

近些年,新出現了眾多入侵系統的手法,比如 Apache Struts2 漏洞利用、Hadoop Yarn REST API 未授權漏洞利用,但是古老的 SSH 暴力破解攻擊手段不僅沒有消亡,反而愈演愈烈。云鼎實驗室在本篇《報告》中,對 SSH 暴力破解攻擊從攻擊者使用的攻擊字典、攻擊目標、攻擊源地域分布、惡意文件等維度,以及捕獲的攻擊案例進行趨勢分析。由于虛擬貨幣的興起,攻擊者不再僅僅利用通過 SSH 暴力破解控制的設備來進行 DDoS 攻擊,還用來挖礦,牟取利益。

為什么 SSH 暴力破解攻擊手段愈演愈烈?

主要原因:

??SSH 暴力破解工具已十分成熟,比如 Medusa、 Hydra 等,且下載渠道眾多;

??SSH 暴力破解已經成為惡意程序(如 Gafgyt[1]、 GoScanSSH[2][3]?等)自動傳播的主要方式之一。

大部分自動化 SSH 暴力破解攻擊并不檢測設備類型,只要發現開放的 SSH 服務就會進行攻擊。由于這種無差別自動化攻擊,開放 SSH 服務的 Linux 服務器(包括傳統服務器、云服務器等)、物聯網設備等自然就成為主要攻擊目標。

 

二、攻擊現狀分析

 

1. 攻擊者所使用的 SSH 暴力破解攻擊字典分析

云鼎實驗室針對近期統計的 SSH 暴力破解登錄數據分析發現:

??接近99%的 SSH 暴力破解攻擊是針對 admin 和 root 用戶名;

??攻擊最常用弱密碼前三名分別是 admin、 password、 root,占攻擊次數的98.70%;

??約85%的 SSH 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組用戶名密碼組合。

△ 表1 攻擊者所使用的 SSH 暴力破解攻擊字典 Top 20

 

2. SSH?暴力破解攻擊目標分析

云鼎實驗室通過分析數據發現, SSH 暴力破解攻擊目標主要分為 Linux 服務器(包括傳統服務器、云服務器等)與物聯網設備。

1)Linux 服務器(包括傳統服務器、云服務器等)

??大部分攻擊都是針對 Linux 服務器默認管理賬號 root,攻擊者主要使用?admin、 root、 123456等常見弱密碼進行暴力破解;

??少部分攻擊是針對 tomcat、 postgres、 hadoop、 mysql、 apache、 ftpuser、 vnc 等?Linux 服務器上常見應用程序使用的用戶名。攻擊者不僅使用常見通用弱密碼,還會將用戶名當作密碼進行攻擊。

??另外,還發現針對 CSGO 游戲服務端(目前該服務端程序只能在 Linux 系統上安裝)[4]的默認用戶名 csgoserver?的攻擊。攻擊者同樣也是使用常見弱密碼進行暴力破解。

2)物聯網設備

根據攻擊者所使用的 SSH 暴力破解攻擊字典分析結果,大量 SSH 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組用戶名密碼組合,而這兩組用戶名密碼組合,正是路由器最常用的默認用戶名密碼組合[5][6]。由此可知,使用上述默認配置的路由器設備已成為攻擊的主要目標。

除此之外,還發現針對特定物聯網設備(比如攝像頭、路由器、防火墻、樹莓派等)的 SSH 暴力破解攻擊。這些攻擊使用了表2所示的用戶名密碼組合。

△?表2 特定物聯網設備的用戶名密碼組合

3.?SSH 暴力破解攻擊次數地域分布情況

云鼎實驗室最近統計到來自160多個國家的攻擊,其中來自荷蘭的攻擊最多,占總攻擊次數的76.42%;接著是來自保加利亞的攻擊,占10.55%;排第三的是中國,占3.89%。由于歐洲部分國家,比如荷蘭、保加利亞,VPS 監管寬松[7],攻擊者可以很方便地租用到 VPS 進行大量攻擊。

來自國內的攻擊中,接近60%的攻擊來自于互聯網產業發達的廣東、北京、上海。

 

4. 發起 SSH 暴力破解攻擊的源 IP 地域分布情況

根據對攻擊源中各國的 IP 數量統計,中國的攻擊源 IP 最多,占26.70%,巴西、越南、美國不相上下。

國內的攻擊源 IP 分布廣泛,全國各地都有,且地域分布較為平均,沒有出現攻擊源 IP 數量特別多的省市,這是因為攻擊者為了隱藏自己真實位置,躲避追蹤,使用了不同地區的 IP 進行攻擊。

 

5.?植入惡意文件所使用的命令分析

分析發現,攻擊者最愛搭建 HTTP 服務器來用于惡意文件的植入,因此自動化暴力破解攻擊成功后,常使用 wget / curl 來植入惡意文件。不過,相比 curl 命令,Linux 的命令 wget,適用范圍更廣,因此攻擊者會首選 wget 命令來植入惡意文件。

而少部分攻擊者還會在 HTTP 服務器上,同時運行 TFTP 和 FTP 服務,并在植入惡意文件時,執行多個不同的植入命令。這樣即使在 HTTP 服務不可用的情況下,仍可以通過 TFTP 或 FTP 植入惡意文件。

 

6. 惡意文件服務器地域分布情況

由于采集的大部分節點在國內,因此統計到67%的惡意文件服務器部署在國內,且沒有完全集中在互聯網產業發達的地區,廣東、上海占比就比較少。這是因為這些地區對服務器監管嚴格,因此攻擊者選用其他地區的服務器存放惡意文件。

 

7.?植入的惡意文件分析

對攻擊后直接植入的惡意文件進行文件類型識別,超過50%的文件是 ELF 可執行文件;在這些 ELF 文件當中,x86 CPU 架構的文件最多,有63.33%;除x86和x64 CPU 架構的 ELF 文件以外,還有適用于 ARM 和 MIPS CPU 架構的 ELF 文件。而其余惡意文件的文件類型有 Shell 腳本、Perl、 Python 等(詳情見下圖)。因為 SSH 暴力破解是針對 Linux 系統的攻擊,因此攻擊成功后多數都是植入 ELF 可執行文件。

植入的惡意文件中反病毒引擎檢測到病毒占比43.05%,病毒文件中屬 DDoS 類型的惡意文件最多,接近70%,包括 Ganiw、 Dofloo、 Mirai、 Xarcen、 PNScan、 LuaBot、 Ddostf 等家族。另外,僅從這批惡意文件中,就發現了比特幣等挖礦程序占5.21%,如下圖所示:

 

 

三、案例分析

 

1.?SSH?暴力破解攻擊案例整體流程

云鼎實驗室于2018年06月10日7點12分發現的一次 SSH 暴力破解攻擊,攻擊者攻擊成功后進行了以下操作:

 

2.?惡意樣本1分析[11][12]? ——「DDoS 家族 Ddostf 的僵尸程序」

 

攻擊者植入的第一個惡意樣本是 DDoS 家族 Ddostf 的僵尸程序。簡要的樣本信息如下:

△?表3 惡意樣本1 的功能函數

??該樣本具有7種 DDoS 攻擊類型,13個 DDoS 攻擊函數,詳情如下表:

△?表4 惡意樣本1 的 DDoS 攻擊類型

 

3.?惡意樣本2分析?——「一路賺錢」挖礦惡意程序

 

攻擊者植入的第二個惡意樣本是挖礦相關的。由于虛擬貨幣的興起,攻擊者開始利用被控制的設備進行挖礦來牟取利益。簡要的樣本信息如下:

植入的惡意樣本是「一路賺錢」的64位 Linux 挖礦惡意程序部署腳本,腳本執行后會植入「一路賺錢」?64位 Linux 版本的挖礦惡意程序壓縮包,并解壓到 /opt 目錄下,然后運行主程序 mservice,注冊為 Linux 系統服務,服務名為 YiluzhuanqianSer。該文件夾中有三個可執行文件 mservice / xige / xig,均被反病毒引擎檢測出是挖礦類的惡意樣本。根據配置文件可知, mservice 負責賬號登錄/設備注冊/上報實時信息,而xige 和 xig負責挖礦, xige 挖以太幣 ETH,xig 挖門羅幣 XMR。

??樣本的MD5值:6ad599a79d712fbb2afb52f68b2d7935

??病毒名:Win32.Trojan-downloader.Miner.Wskj

??「一路賺錢」的64位 Linux 版本挖礦惡意程序文件夾內容如下:

△ 表5 「一路賺錢」的64位 Linux?版本挖礦惡意程序文件夾內容

??挖礦使用的礦池地址:

xcn1.yiluzhuanqian.com:80

ecn1.yiluzhuanqian.com:38008

 

4. 事件小結

由攻擊者通過 SSH 暴力破解可對攻擊目標植入 Ddostf 僵尸程序和「一路賺錢」挖礦惡意程序可知,攻擊者不僅利用僵尸程序發動 DDoS 牟取利益,同時在設備空閑時還可進行挖礦,達到設備資源的最大利用。另外,隨著「一路賺錢」這種小白挖礦程序的興起,降低了挖礦的技術難度,未來可能會出現更多類似事件。

 

 

四、總結與建議

1.?整體現狀

1)由于物聯網的蓬勃發展,設備數量暴增,因此物聯網設備漸漸成為主要的攻擊目標。

2)過去攻擊者使用大量的弱密碼進行攻擊,而現在則使用少量的默認密碼,對特定設備進行攻擊。

3)過去更多是攻擊者利用自動化 SSH 暴力破解工具發動攻擊,植入僵尸程序,組建自己的僵尸網絡。而現在僵尸程序可以自己發動攻擊,自動傳播感染新的設備,逐步壯大僵尸網絡。

4)過去攻擊者更多是利用已控制的服務器進行攻擊,而現在攻擊者會租用國外監管寬松的 VPS 進行大量的攻擊。

5)攻擊成功后的植入的惡意樣本還是以 DDoS 家族為主,并開始出現挖礦程序[13]。

2.?未來趨勢:

1)隨著聯網設備的不斷增多[14],SSH 暴力破解攻擊會越來越多;

2)攻擊者繼續租用廉價國外 VPS,躲避監管,進行大規模的攻擊;

3)日益增多的云服務依舊會被攻擊者鎖定,但攻擊的整體趨勢將從云平臺向物聯網設備遷移,物聯網設備將成為最主要攻擊目標。

 

3.?安全建議:

1)技術型用戶,可根據下列建議提高 SSH 服務的安全性:

a.?SSH 服務僅開放密鑰驗證方式,禁止 root 用戶登錄,修改默認端口。b.?修改默認密碼,新密碼最少8位,且包含大小寫字母、數字、特殊字符。并檢查是否使用了文中提到的弱密碼。若使用了弱密碼,也需要修改密碼,加強安全性。c.?用戶需要對自己的設備進行定期自查,檢查是否有可疑程序運行,并清理可疑程序。? ? ? ?運行 service YiluzhuanqianSer status 命令,檢查是否存在「一路賺錢」挖礦惡意程序。(僅適用于 Linux 系統)? ? ? ?查找 Linux 系統中是否存在以 mservice、 xige、 xig 命名的可執行文件。

2)普通用戶可選擇騰訊云云鏡專業版提高云服務器的整體安全性。

騰訊云云鏡基于騰訊安全積累的海量威脅數據,利用機器學習為用戶提供黑客入侵檢測和漏洞風險預警等安全防護服務,主要包括密碼破解攔截、異常登錄提醒、木馬文件查殺、高危漏洞檢測等安全功能,解決當前服務器面臨的主要網絡安全風險,幫助企業構建服務器安全防護體系,防止數據泄露,為企業有效預防安全威脅,減少因安全事件所造成的損失。

 

第一篇專題報告閱讀鏈接:

//www.nandk.icu/2018/06/39051.html

 

參考鏈接:

[1]?//www.freebuf.com/articles/wireless/160664.html

[2]?https://threatpost.com/goscanssh-malware-targets-ssh-servers-but-avoids-military-and-gov-systems/130812/

[3]?https://blog.talosintelligence.com/2018/03/goscanssh-analysis.html

[4]?//www.csteams.net/Servers/

[5]?https://portforward.com/router-password/tp-link.htm

[6]?https://www.lifewire.com/netgear-default-password-list-2619154

[7]?https://www.lehaigou.com/2017/1219209295.shtml

[8]?https://www.leiphone.com/news/201801/GLmAX9VzPhN17cpr.html

[9]?//www.freebuf.com/articles/paper/162404.html

[10]?https://coinidol.com/ionchain-future-of-iot-mining-tool-for-all-things/

[11]?//blog.malwaremustdie.org/2016/01/mmd-0048-2016-ddostf-new-elf-windows.html

[12]?https://larry.ngrep.me/2018/01/17/malwaremustdie-ddostf-analysis/

[13]?//www.freebuf.com/articles/network/161986.html

[14]?//www.freebuf.com/articles/terminal/128148.html

聯系站長租廣告位!
?
中國首席信息安全官


關閉


博彩彩票计划
關閉
腾讯分分彩是不是官网开奖 2019年91期双色球开奖结果 湖北11选五玩法技巧 重庆时时2018版下载 时时彩走势图讲解视频 体彩浙江20选5开奖号 时时彩走势图彩 福利彩票刮刮乐视频 河内时时彩计划app 30选7开奖走势图 福建时时软件app福建 csgo比赛结果网站 3d开奖号码063 山东快乐扑克三 时时彩最稳打法 手机球探网足球即时比分