用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    231

    主题

    232

    帖子

    1960

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2020-1-6 18:58:24 01020

    首先需要说明的是,以下数据来自我们的Telnet和SSH蜜罐,总览如下所示。像往常一样,来自美国的攻击占据了主导地位,不过荷兰的攻击也再次活跃起来。在12月月中的时候,我们对本国(保加利亚)受感染以及攻击行为频繁的机器进行了一系列管控措施。所以保加利亚虽然还在全球前几,但相比以前已经有所下降,希望下个月情况会变得更好。

    22.jpg

    每小时的活动如下所示,蜜罐平均每秒被攻击2.3次:

    33.jpg

    近97%的攻击和Telnet有关,其余为SSH:

    44.jpg

    和最活跃恶意软件有关的前5个网址如下所示,和往常一样,都是Mirai的变种,不过原版不在其中。

    55.jpg

    而对所有恶意软件的统计也可以查看出,各种Mirai变种(IMO,“Svirtu”也是Mirai变种)占据了主导地位:

    66.jpg

    前20名攻击行为最频繁的IP的详细信息如下所示,其中和保加利亚有关的IP属于Verdina有限公司,排名第四。

    77.jpg

    攻击行为最频繁的20个组织中Verdina是保加利亚国内拥大量受感染机器的公司——本月相关的攻击有所减少,但仍接近榜首。和往常一样,最大的攻击源依旧是DigitalOcean(云主机商家):

    88.jpg

    虽然我们每天向DigitalOcean发送几十份安全报告,但似乎并没有什么帮助:

    99.jpg

    我们能所监测到的最常用的20个密码,没有什么异常。

    100.jpg

    现在来到我们的SMB蜜罐。

    首先是总预览,虽然越南也很显眼,但大部分活动还是来自俄罗斯和越南。而且针对SMB的攻击比针对Telnet和SSH的攻击要多,不过它们大多数只是扫描,真正上传文件的攻击较少。此外,似乎还有一个僵尸网络正在寻找有漏洞的机器,但并没有攻击它们:

    110.jpg

    从总数据来看,平均每秒有4.2次攻击。这类统计没有过去详细,是因为蜜罐进行了停机维护。

    120.jpg

    根据赛门铁克的安全扫描,和往常一样,攻击者所上传的恶意软件有很多是WannaCry的变种(考虑到唯一性)。

    130.jpg

    即使我们不考虑唯一性,WannaCry的样本也是相当多。

    140.jpg

    攻击最频繁的20个IP如下所示,都在我们预料之内。不过,塞尔维亚人为公司起的名字真是太长了。

    150.jpg

    发起攻击最多的20个组织如下所示。

    160.jpg

    最后是我们的ADB(Android Debug Bridge)蜜罐,远东地区占据了主导地位。

    170.jpg

    平均每半小时一次攻击。

    180.jpg

    根据Fortinet的安全扫描,上传到蜜罐的恶意软件中,老款Monero采矿软件产生了大部分ADB流量,此外还有一个有点像Mirai的shell脚本。

    190.jpg

    攻击最活跃的前20个IP如下所示。

    200.jpg

    攻击最活跃的前20个组织如下所示。

    210.jpg

    以上就是2019年12月的蜜罐总结。

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3812.html
    来源:https://bontchev.nlcv.bas.bg/articles/?y=2020&m=01
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册