2017年度蜜計劃總結

1.前言

對網路安全而言，2017年是一個不平凡的一年，數據泄漏、勒索蠕蟲、重大漏洞、數字貨幣挖礦等安全事件頻發，且愈演愈烈……

於2018年新年伊始之際，我們將2017年蜜計劃（蜜罐）工作和大家做了個分享。

2.蜜計劃部署情況

截止到2017年12月，水滴安全團隊的蜜計劃在全球一共部署了24個蜜罐節點，其中國內節點9個，國外節點15個。

蜜計劃部署拓撲圖：

3.數據分析

3.1數據總體分析

蜜罐在2017年度(1月~12月)，共捕獲到惡意攻擊日誌1800W條，其中惡意IP數量為40W個，攻擊日誌每天近5W條，隨著節點的增多攻擊日誌還會繼續增加。

從上圖的增長曲線我們可以看到，蜜罐數據兩次大規模增長分別發生在6-7月，6月份增加了6個國內雲主機，7月份增加了6個國外的雲主機，在8月份蜜罐捕獲到的攻擊達到頂峰（經過分析發現主要原因有兩點，分別是永恆之藍漏洞跟IoT殭屍網路有關，詳情見後文），9月份之後趨於平穩，月均日誌量達到150W左右。

以下是近一年來，蜜罐捕獲到的攻擊IP的地理分布情況：

可以發現攻擊IP遍布世界各地，其中30%以上的攻擊來自中國，國外的攻擊主要集中在東南亞、美國和韓國。

攻擊國家TOP 10

對來自中國境內的攻擊又做了進一步的分析，整理出了國內的攻擊城市TOP 10如下：

發現國內的攻擊主要來自北京上海廣州等地區。

攻擊IP統計

攻擊埠統計

通過對埠數據的分析，可以看到黑客對哪些服務感興趣，主要是23（TELNET）、22（SSH）、445（SMB）、1433（MSSQL）、3306（MYSQL）、9200（ES），通過對這些服務進行攻擊可以很容易達到控制目標主機的目的，是黑客最喜歡也是投入與產出比最高的攻擊方式。

3.1蜜罐數據分析

截止到2017年12月20日，SSH蜜罐共捕獲用戶名字典5W個，密碼字典22W個，用戶名密碼組合30W個，以下為各個類型統計：

用戶名TOP 10

密碼TOP 10

用戶名密碼組合TOP 10

通過以上分析，可以看到enable/system、root/root依然是黑客喜歡的爆破組合，同時123456依然是黑客爆破的必選密碼。

3.2蜜罐攻擊行為分析

黑客入侵蜜罐成功後，會執行相關命令，我們通過對這部分數據進行分析，發現黑客的攻擊行為主要有三種，一種是將蜜罐作為肉雞進行長期控制，形成殭屍網路，進而完成DDOS等下一步攻擊動作；另一種是將蜜罐作為openvpn代理伺服器，進行免流灰產獲利。第三種是利用肉雞挖礦，進行數字貨幣牟利。下面對這兩種攻擊手段進行進一步分析。

3.2.1殭屍網路

黑客入侵蜜罐後會執行類似如下命令，從遠程伺服器下載木馬程序並執行，從而到達長期控制肉雞的目的：

（我們拿其中的一個攻擊進行舉例說明）

蜜罐捕獲的攻擊命令

通過分析，發現遠程伺服器是用HFS搭建，有三個樣本，樣本666是針對ARM架構設備的，下載量是3000+，樣本s360，s361是針對x86架構的ELF文件，下載量各在200+

對樣本進行分析，發現這是一個DDoS的遠控木馬：

黑客通過這種方式批量抓雞，然後形成殭屍網路，通過控制端程序下髮指令，發動DDoS攻擊：

殭屍網路控制端

3.2.2免流灰產

在對攻擊日誌進行分析時，發現了另一種攻擊行為，黑客在入侵蜜罐後會去遠程伺服器下載一個腳本，該腳本的功能是搭建一個openvpn的服務，這一操作引起了我們的注意，於是對這一行為進行了跟蹤。

（拿其中的一個攻擊進行舉例說明）

發現這是一個做免流服務的平台：

黑客利用黑下的伺服器搭建該平台的流控軟體，然後利用別的途徑（比如淘寶）兜售手機免流軟體，從中牟利，以下是來自淘寶的截圖：

3.2.3數字貨幣挖礦

通過分析蜜罐日誌，發現了黑客的又一種牟利行為--數字貨幣挖礦。尤其是今年下半年，隨著比特幣市值的瘋漲，各種數字數字貨幣的價格也是翻了近20倍，於是黑客通過漏洞植入挖礦軟體，進行挖礦。截止到12月，蜜罐共捕獲10款挖礦軟體，主要針對門羅幣（XMR）、以太幣（ETN），以下為挖礦軟體列表：

拿其中一個門羅幣挖礦進行分析，軟體植入的方式有兩種，一種是爆破telnet或者ssh服務，另一種是通過漏洞（永恆之藍、Struts2等），軟體運行截圖如下：

配置文件保存了礦池地址以及門羅幣錢包：

可以在礦池輸入對應的錢包地址查看目前已經挖到的門羅幣數量：

3.3活躍樣本捕獲

截止到2017年12月20日，蜜罐共捕獲黑客下載伺服器1702個：

捕獲現網活躍惡意樣本2037個：

3.3.1 殭屍網路發現（一）

案例如下：

分布在全國各地的蜜罐系統在2017年5月16日15：47分收到一條告警信息，發現有黑客入侵了我們的蜜罐系統，並嘗試下載木馬執行，我們迅速對這一事件進行響應分析，並通過技術手段反滲透到黑客伺服器，獲取了進一步的信息，發現了兩個殭屍網路控制端「神起 ddos 集群」、「颱風 DDOS vip 集群」，截止 2017 年 5月 17 日期間最少擁有上千台的肉雞組成的殭屍網路，通過監測發現殭屍網路控制的肉雞日活量在不斷增加，又通過溯源手段定位到了殭屍網路的實際控制人詳細信息，包括 QQ 賬號、支付寶賬號、地址、個人照片、 網路活動情況等。

我們把這一發現報告給了公安部門，目前公安部門已經立案偵查。

3.3.2殭屍網路發現（二）

7月底，某省移動現網監測到大量針對23埠的攻擊事件，我們迅速開發部署針對TELENT（23埠）協議的蜜罐，部署到現網之後，立刻發現了跟客戶同一特徵的攻擊事件，也可以從文章最開始的數據看到在8月份捕獲到了大量的攻擊：

拿到最新的樣本之後，第一時間分析並撰寫發布了《「IoT幽靈」樣本分析報告》

3.3.3 Wanacry勒索軟體發現

2017年5月，黑客利用永恆之藍漏洞植入Wanacry勒索軟體，WannaCry勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其衝，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫文件被加密後，無法正常工作，影響巨大。

針對這一情況，我們在8月份升級了針對永恆之藍漏洞的監測，部署到現網之後捕獲到了大量利用該漏洞進行傳播的樣本，包括Wanacry勒索軟體變種、門羅幣挖礦軟體、DDoS殭屍網路等。

4. 蜜罐+沙箱——自動化分析

通過蜜罐與沙箱的聯動，將蜜罐捕獲到的樣本實時傳給沙箱進行研判，同時加以人工分析，提取相應網路檢測特徵規則，用於現網惡意流量監測項目，獲取現網最新的攻擊數據。

自動化分析流程

沙箱自動研判

現網捕獲最新事件

5.總結

通過對蜜計劃數據的分析，我們發現了各種各樣的攻擊手法；捕獲到了最新的現網活躍惡意樣本、惡意IP、URL等數據，作為非常有效的威脅情報的數據來源。接下來隨著我們蜜罐類型的增多，蜜計劃收集到的數據越來越多，這裡面包含了很多未知的攻擊手法，所以要利用和運營好這些數據，進行深入分析，從而創造出更多的安全價值！

2018——蜜罐SaaS化

最後，透露下我們2018年的蜜罐方面的一些工作計劃，2017年10月完成了與公司SaaS平台已實現對接，細節還在完善中，有望在18年上半年對公眾免費開放，歡迎有興趣的小夥伴加入，一起打造一個開放的蜜網和威脅情報平台。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！