知識庫
來自北歐防毒領導品牌芬-安全F-Secure研究人員利用遍佈全球的蜜罐網路(一種偽裝成看似有利用價值的網路、資料、電腦系統,並故意設置了bug,用來吸引駭客攻擊)來監測網路威脅情勢。這些蜜罐被動分析來自世界各地的網路流量。儘管蜜罐有其侷限性,它們是有關高級模式和趨勢的優質資訊來源,它能告訴我們攻擊者、自我複製殭屍網路和其他攻擊來源如何找到攻擊目標。
攻擊者在攻擊前透過一系列網路偵察活動調查公司、網路、IP位址、人員和其他潛在目標,以找出他們易於攻擊的漏洞。狡猾的攻擊者使用網路上免費的情報,如LinkedIn、Google等。2016年下半年,芬-安全檢測到一股來自俄羅斯IP位址的“活躍偵察流量”,認為來自俄羅斯IP位址的主動偵察占了全球總量的近60%。緊跟其後的是荷蘭11%;美國9%;德國和中國各占約4%。主動偵察前十的國家占去年觀測的所有流量的95%。
鑒於俄羅斯是這類流量的最大來源,世界上大多數國家包括俄羅斯在內都是俄羅斯IP的攻擊目標。美國是全球和俄羅斯主動偵察最常見的目標。來自中國IP地址的流量是這種趨勢的例外:美國和德國既主動偵察中國,也是中國頻繁主動偵察的對象。
攻擊通常由代理伺服器執行。世界各地的攻擊者有很多不同的方法利用代理説明他們進行攻擊。例如,攻擊者可以使機器中毒,並利用它掃描尋找其他目標。蠕蟲、僵屍和其他類型的惡意軟體通常以這種方式傳播。它感染特定設備後自動開始掃描新目標。
在蜜罐眼中越顯著的國家,越有可能存在潛伏在本國或世界其他地方的攻擊者利用的受損網路或基礎設施。代理伺服器的使用使網路犯罪活動超越了國界,執法機構,更難捕捉犯罪團夥。自動化的主動偵察使攻擊者有效地擴展其業務和發展基礎設施。這樣的擴展可以幫助攻擊者發展他們的能力,執行DDoS攻擊、垃圾郵件和釣魚等活動。我們蜜罐觀察到的相當一部分主動偵察看起來是自動掃描和自我複製殭屍網路的結果。
芬-安全F-Secure的蜜罐觀察到的近一半的流量在尋找暴露的http / https埠。攻擊者透過這些埠試圖尋找有漏洞可以利用的軟體,從而上傳惡意軟體或以其他方式危害設備。儘管蜜罐顯然不是高價值目標,也不會像現實中存在漏洞的設備被“控制”,他們還是吸引了攻擊者的興趣。攻擊者希望利用存在漏洞的機器作為進一步攻擊的代理。
SMTP埠是另一個流行的目標。攻擊者探測這些埠尋找可利用軟體。這些埠也經常是垃圾郵件和網路釣魚活動的目標,被網路罪犯份子各式各樣的詐騙炮轟。
用於更具體目的的埠,例如Telnet和SSDP,也是主動偵察流量的目標。對於試圖劫持設備的攻擊者來說,Telnet和SSDP都是很容易的目標,並且人們廣泛認為它與DDoS之類的殭屍網路有關聯。所以開放的埠會吸引攻擊者注意,這點不足為奇。
基於Mirai的殭屍網路在2016年下半年成為新聞頭條。Mirai的設計目的是通過暴力強制獲得Telnet憑證感染設備,這是此類惡意軟體常用的攻擊方式。開放Telnet埠提升了Mirai和類似的傳播途徑的便利性。
開放Telnet埠的大部分掃描源自亞洲國家和地區。前五大掃描來源分別來自台灣、中國、印度、越南和韓國。這些掃描的最常見的目標是英國、土耳其和台灣。
芬-安全F-Secure 研究人員還發現一些試圖用惡意軟體感染蜜罐的企圖。在這些嘗試中使用的最常見的惡意軟體有Gafgyt、Tsunami和PnScan。眾所周知,這些惡意軟體家族均是殭屍網路運營商使用的工具。這額外的證據表明去年檢測到大量的主動偵察是為了建立殭屍網路。
關於 芬-安全 F-Secure
芬-安全 F-Secure 是一家具有多年銷售企業和個人安全防護經驗的歐洲資訊安全公司,防護勒索軟體感染,也針對高級網路攻擊提供全面的安全服務體系及芬-安全的獲獎產品。 芬-安全 F-Secure 的專利安全創新和先進的威脅情報技術,保護上萬各公司和數百萬的用戶安全。 芬-安全 F-Secure 的安全專家比市場上任何一家廠商更頻繁地參與了歐洲資訊犯罪現場調查。在全世界有超過 200 多家運營商和上千家分銷商銷售 芬-安全。 芬-安全 F-Secure 成立於 1988 年,在赫爾辛基納斯達克交易所上市。
如想進一步瞭解歡迎聯絡:芬-安全F-Secure白金代理商-科益國際 芬享安全小組,02-2585-8725 #201~202,或e-mail service@techez.com.tw 將有專人為您服務。