SSH 暴力破解趋势:从云平台向物联网设备迁移 | 云鼎实验室出品

导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南。上篇报告从DDoS 攻击的角度揭示了云上攻击最新趋势,本篇由同一技术团队云鼎实验室分享:「SSH暴力破解趋势:从云平台向物联网设备迁移 」,以下简称《报告》。

一、基本概念

SSH 暴力破解是什么?

SSH 暴力破解是一种对远程登录设备(比如云服务器)的暴力攻击,该攻击会使用各种用户名、密码尝试登录设备,一旦成功登录,便可获得设备权限。本篇报告内容云鼎实验室从攻击现状、捕获样本、安全建议等方面展开。

近些年,新出现了众多入侵系统的手法,比如 Apache Struts2 漏洞利用、Hadoop Yarn REST API未授权漏洞利用,但是古老的 SSH 暴力破解攻击手段不仅没有消亡,反而愈演愈烈。云鼎实验室在本篇《报告》中,对 SSH 暴力破解攻击从攻击者使用的攻击字典、攻击目标、攻击源地域分布、恶意文件等维度,以及捕获的攻击案例进行趋势分析。由于虚拟货币的兴起,攻击者不再仅仅利用通过 SSH 暴力破解控制的设备来进行 DDoS 攻击,还用来挖矿,牟取利益。

为什么 SSH 暴力破解攻击手段愈演愈烈?

主要原因:

1.SSH 暴力破解工具已十分成熟,比如 Medusa、 Hydra 等,且下载渠道众多;

2.SSH 暴力破解已经成为恶意程序(如 Gafgyt、 GoScanSSH等)自动传播的主要方式之一。

大部分自动化 SSH 暴力破解攻击并不检测设备类型,只要发现开放的 SSH 服务就会进行攻击。由于这种无差别自动化攻击,开放 SSH 服务的 Linux 服务器(包括传统服务器、云服务器等)、物联网设备等自然就成为主要攻击目标。

二、攻击现状分析

1.攻击者所使用的 SSH 暴力破解攻击字典分析

云鼎实验室针对近期统计的 SSH 暴力破解登录数据分析发现:

(1)接近99%的 SSH 暴力破解攻击是针对admin 和 root 用户名;

(2)攻击最常用弱密码前三名分别是admin、 password、 root, 占攻击次数的98.70%;

约85%的 SSH 暴力破解攻击使用了admin / admin 与 admin / password 这两组用户名密码组合。

表1 攻击者所使用的 SSH 暴力破解攻击字典 Top 20

2.SSH 暴力破解攻击目标分析

云鼎实验室通过分析数据发现, SSH 暴力破解攻击目标主要分为 Linux 服务器(包括传统服务器、云服务器等)与物联网设备。

Linux 服务器(包括传统服务器、云服务器等):

(1)大部分攻击都是针对 Linux 服务器默认管理账号 root,攻击者主要使用 admin、 root、 123456等常见弱密码进行暴力破解;

(2)少部分攻击是针对 tomcat、postgres、 hadoop、 mysql、 apache、 ftpuser、vnc 等 Linux 服务器上常见应用程序使用的用户名。攻击者不仅使用常见通用弱密码,还会将用户名当作密码进行攻击。

(3)另外,还发现针对 CSGO 游戏服务端(目前该服务端程序只能在 Linux 系统上安装)的默认用户名 csgoserver 的攻击。攻击者同样也是使用常见弱密码进行暴力破解。

物联网设备

根据攻击者所使用的 SSH 暴力破解攻击字典分析结果,大量 SSH 暴力破解攻击使用了 admin / admin 与 admin / password 这两组用户名密码组合,而这两组用户名密码组合,正是路由器最常用的默认用户名密码组合。由此可知,使用上述默认配置的路由器设备已成为攻击的主要目标。

除此之外,还发现针对特定物联网设备(比如摄像头、路由器、防火墙、树莓派等)的 SSH 暴力破解攻击。这些攻击使用了表2所示的用户名密码组合。

表2 特定物联网设备的用户名密码组合

3.SSH 暴力破解攻击次数地域分布情况

云鼎实验室最近统计到来自160多个国家的攻击,其中来自荷兰的攻击最多,占总攻击次数的76.42%;接着是来自保加利亚的攻击,占10.55%;排第三的是中国,占3.89%。由于欧洲部分国家,比如荷兰、保加利亚,VPS 监管宽松,攻击者可以很方便地租用到 VPS 进行大量攻击。

来自国内的攻击中,接近60%的攻击来自于互联网产业发达的广东、北京、上海。

4.发起 SSH 暴力破解攻击的源 IP 地域分布情况

根据攻击源 IP 数量统计,中国的攻击源 IP 最多,占26.70%,巴西、越南、美国不相上下。

国内的攻击源 IP 分布广泛,全国各地都有,且地域分布较为平均,没有出现攻击源 IP 数量特别多的省市,这是因为攻击者为了隐藏自己真实位置,躲避追踪,使用了不同地区的 IP 进行攻击。

5.植入恶意文件所使用的命令分析

攻击者最爱搭建 HTTP 服务器来用于恶意文件的植入。因此自动化暴力破解攻击成功后,常使用 wget /curl 来植入恶意文件。不过,相比 curl 命令,Linux的命令 wget,适用范围更广,因此攻击者会首选 wget 命令来植入恶意文件。

而少部分攻击者还会在 HTTP 服务器上,同时运行 TFTP 和 FTP 服务,并在植入恶意文件时,执行多个不同的植入命令。这样即使在HTTP 服务不可用的情况下,仍可以通过 TFTP 或 FTP 植入恶意文件。

6.恶意文件服务器地域分布情况

由于采集的大部分节点在国内,因此统计到67%的恶意文件服务器部署在国内,且没有完全集中在互联网产业发达的地区,广东、上海占比就比较少。这是因为这些地区对服务器监管严格,因此攻击者选用其他地区的服务器存放恶意文件。

7.植入的恶意文件分析

对攻击后直接植入的恶意文件进行文件类型识别,超过50%的文件是 ELF 可执行文件;在这些 ELF 文件当中,x86 CPU 架构的文件最多,有63.33%;除x86和x64 CPU 架构的 ELF 文件以外,还有适用于 ARM 和 MIPS CPU 架构的ELF 文件。而其余恶意文件的文件类型有 Shell 脚本、Perl、 Python 等(详情见下图)。因为 SSH 暴力破解是针对 Linux 系统的攻击,因此攻击成功后多数都是植入 ELF 可执行文件。

植入的恶意文件中反病毒引擎检测到病毒占比43.05%,病毒文件中属 DDoS 类型的恶意文件最多,接近70%,包括 Ganiw、 Dofloo、Mirai、 Xarcen、 PNScan、 LuaBot、 Ddostf等家族。另外,仅从这批恶意文件中,就发现了比特币等挖矿程序占5.21%,如下图所示:

三、案例分析

1.SSH 暴力破解攻击案例整体流程

云鼎实验室于2018年06月10日7点12分发现的一次 SSH 暴力破解攻击,攻击者攻击成功后进行了以下操作:

2.恶意样本1分析——「DDoS 家族 Ddostf 的僵尸程序」

攻击者植入的第一个恶意样本是 DDoS 家族 Ddostf 的僵尸程序。

简要的样本信息如下:

(1)样本对应URL:http://210.*.*.165:22/nice

(2)样本的MD5值:0dc02ed587676c5c1ca3e438bff4fb46

(3)文件类型:ELF 32-bit LSBexecutable,  Intel 80386,  version 1 (GNU/Linux),  statically linked,  for GNU/Linux 2.6.32,  not stripped

(4)C&C地址:112.*.*.191:88

(5)该样本共有6个功能函数,详情如下表3:

表3 恶意样本1 的功能函数

(6)该样本具有7种 DDoS 攻击类型,13个 DDoS 攻击函数,详情如下表:

表4 恶意样本1 的 DDoS 攻击类型

3.恶意样本2分析——「一路赚钱」挖矿恶意程序

攻击者植入的第二个恶意样本是挖矿相关的。由于虚拟货币的兴起,攻击者开始利用被控制的设备进行挖矿来牟取利益。简要的样本信息如下:

植入的恶意样本是「一路赚钱」的64位 Linux 挖矿恶意程序部署脚本,脚本执行后会植入「一路赚钱」 64位 Linux 版本的挖矿恶意程序压缩包,并解压到 /opt 目录下,然后运行主程序 mservice,注册为 Linux 系统服务,服务名为 YiluzhuanqianSer。该文件夹中有三个可执行文件 mservice / xige / xig,均被反病毒引擎检测出是挖矿类的恶意样本。根据配置文件可知, mservice 负责账号登录/设备注册/上报实时信息,而xige 和 xig负责挖矿,xige 挖以太币 ETH,xig挖门罗币 XMR。

样本的MD5值:6ad599a79d712fbb2afb52f68b2d7935

病毒名:Win32.Trojan-downloader.Miner.Wskj

「一路赚钱」的64位Linux 版本挖矿恶意程序文件夹内容如下:

表5 「一路赚钱」的64位Linux 版本挖矿恶意程序文件夹内容

挖矿使用的矿池地址:

xcn1.yiluzhuanqian.com:80

ecn1.yiluzhuanqian.com:38008

4.事件小结

由攻击者通过 SSH 暴力破解可对攻击目标植入 Ddostf 僵尸程序和「一路赚钱」挖矿恶意程序可知,攻击者不仅利用僵尸程序发动 DDoS 牟取利益,同时在设备空闲时还可进行挖矿,达到设备资源的最大利用。另外,随着「一路赚钱」这种小白挖矿程序的兴起,降低了挖矿的技术难度,未来可能会出现更多类似事件。

四、总结与建议

1.整体现状:

(1)由于物联网的蓬勃发展,设备数量暴增,因此物联网设备渐渐成为主要的攻击目标。

(2)过去攻击者使用大量的弱密码进行攻击,而现在则使用少量的默认密码,对特定设备进行攻击。

(3)过去更多是攻击者利用自动化 SSH 暴力破解工具发动攻击,植入僵尸程序,组建自己的僵尸网络。而现在僵尸程序可以自己发动攻击,自动传播感染新的设备,逐步壮大僵尸网络。

(4)过去攻击者更多是利用已控制的服务器进行攻击,而现在攻击者会租用国外监管宽松的 VPS 进行大量的攻击。

(5)攻击成功后的植入的恶意样本还是以 DDoS 家族为主,并开始出现挖矿程序。

2.未来趋势:

(1)随着联网设备的不断增多,SSH 暴力破解攻击会越来越多

(2)攻击者继续租用廉价国外 VPS,躲避监管,进行大规模的攻击;

(3)日益增多的云服务依旧会被攻击者锁定,但攻击的整体趋势将从云平台向物联网设备迁移,物联网设备将成为最主要攻击目标;

3.安全建议:

(1)技术型用户,可根据下列建议提高 SSH 服务的安全性:

a.SSH服务仅开放密钥验证方式,禁止 root 用户登录,修改默认端口。

b.修改默认密码,新密码最少8位,且包含大小写字母、数字、特殊字符。并检查是否使用了文中提到的弱密码。若使用了弱密码,也需要修改密码,加强安全性。

c.用户需要对自己的设备进行定期自查,检查是否有可疑程序运行,并清理可疑程序:

运行 serviceYiluzhuanqianSer status 命令,检查是否存在「一路赚钱」挖矿恶意程序。(仅适用于 Linux 系统)

查找 Linux 系统中是否存在以mservice、 xige、 xig 命名的可执行文件。

(2)普通用户可选择腾讯云云镜专业版提高云服务器的整体安全性。

腾讯云云镜基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系,防止数据泄露,为企业有效预防安全威胁,减少因安全事件所造成的损失。

第一篇专题报告阅读链接:

2018上半年互联网 DDoS 攻击趋势分析

参考链接:

[1]http://www.freebuf.com/articles/wireless/160664.html

[2]https://threatpost.com/goscanssh-malware-targets-ssh-servers-but-avoids-military-and-gov-systems/130812/

[3]https://blog.talosintelligence.com/2018/03/goscanssh-analysis.html

[4]http://www.csteams.net/Servers/

[5]https://portforward.com/router-password/tp-link.htm

[6]https://www.lifewire.com/netgear-default-password-list-2619154

[7]https://www.lehaigou.com/2017/1219209295.shtml

[8]https://www.leiphone.com/news/201801/GLmAX9VzPhN17cpr.html

[9]http://www.freebuf.com/articles/paper/162404.html

[10]https://coinidol.com/ionchain-future-of-iot-mining-tool-for-all-things/

[11]http://blog.malwaremustdie.org/2016/01/mmd-0048-2016-ddostf-new-elf-windows.html

[12]https://larry.ngrep.me/2018/01/17/malwaremustdie-ddostf-analysis/

[13]http://www.freebuf.com/articles/network/161986.html

[14]http://www.freebuf.com/articles/terminal/128148.html

*文章作者云鼎实验室,转载请注明来自FreeBuf.COM

SSH 暴力破解趋势——植入的恶意文件属 DDoS 类型的恶意文件最多,接近70%,包括 Ganiw、 Dofloo、Mirai、 Xarcen、 PNScan、 LuaBot、 Ddostf等家族。此外挂机、比特币等挖矿程序占5.21%的更多相关文章

  1. Linux用root强制踢掉已登录用户;用fail2ban阻止ssh暴力破解root密码

    Linux用root强制踢掉已登录用户   首先使用w命令查看所有在线用户: [root@VM_152_184_centos /]# w 20:50:14 up 9 days, 5:58, 3 use ...

  2. Linux应急响应(一):SSH暴力破解

    0x00 前言 ​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全.SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包 ...

  3. Linux CentOS 防止SSH暴力破解

    一. 问题的发现 昨晚苦逼加班完后,今早上班继续干活时,SSH连接服务器发现异常的提示,仔细看了一下吓一小跳,昨晚9点钟到现在,一夜之间被人尝试连接200+,慌~~~ 1. 速度查一下log [roo ...

  4. 防止ssh暴力破解的小工具denyhosts

    DenyHosts 简介 DenyHosts 是 Python 语言写的一个程序软件,运行于 Linux 上预防 SSH 暴力破解的,它会分析 sshd 的日志文件(/var/log/secure), ...

  5. 利用iptables防止ssh暴力破解和控制网速

    iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --setiptables -I INPUT -p ...

  6. ssh暴力破解解决方案(Centos7更改端口)

    服务器默认ssh远程连接端口为22端口,通常通过22远程连接的话,容易有ssh暴力破解的风险,给我们造成一定的损失.下面是更换ssh端口过程: 1.添加ssh端口 vim /etc/ssh/sshd_ ...

  7. 用fail2ban阻止ssh暴力破解root密码

    安装fail2ban工具来实现防暴力破解,防止恶意攻击,锁定恶意攻击IP. 1.如果是centos系统,先yum安装fail2ban [root@VM_152_184_centos /]# yum - ...

  8. 记录ssh暴力破解的密码字典

    之前我已经在wooyun和91ri上发表了这篇文章,今天转到51cto上... 默认的ssh日志是不带密码记录功能的,现在想把登录密码记录下来,这样就可以搜集黑客的ssh爆破字典了,从而可以反扫回去. ...

  9. 阿里云服务器被他人通过SSH暴力破解后的安全加固

    背景说明:我登录阿里云服务器控制台时,收到几条安全警告信息. 从图中可以知道,对方的IP地址是47.97.68.118,通过SSH登录方式,登录时用我服务器里的admin用户,然后用穷举法暴力破解ad ...

随机推荐

  1. Maven打包部署

    Maven打Jar包 问题一 Eclipse突然SB告诉我类不存在还让我导包进来O__O "…,但是我明明有这个类.这是不要慌,通过在网上搜索得知:由于eclipse的编译是基于时间戳的判断 ...

  2. appium服务关键字

    关键字 描述 实例 automationName 你想使用的自动化测试引擎 Appium (默认) 或 Selendroid platformName 你要测试的手机操作系统 iOS, Android ...

  3. maven 介绍(二)

    本文内容主要摘自:http://www.konghao.org/index 内部视频 三.仓库 仓库:本地仓库:远程仓库:私有仓库(nexus) 1. nexus 的安装: 1). 下载并且解压缩 2 ...

  4. Table的一些设置(自适应以及溢出)

    table的两个属性 单行溢出点点显示 表格的宽度设置 双栏自适应连续连续英文符换行 1.table重置的两个属性: ①border-collapse: collapse;      /* 为表格设置 ...

  5. Axure的总结

    1.Axure的用途      Axure RP 能帮助网站需求设计者,快捷而简便的创建基于网站构架图的带注释页面示意图.操作流程图.以及交互设计,并可自动生成用于演示的网页文件和规格文件,以提供演示 ...

  6. 在python3下使用OpenCV 抓取摄像头图像并实时显示3色直方图

    以下代码为在Python3环境下利用OpenCV 抓取摄像头的实时图像, 通过OpenCV的 calHist函数计算直方图, 并显示在3个不同窗口中. import cv2 import numpy ...

  7. Nginx将不同IP的请求分发到不同的WEB服务器

    server { listen ; server_name localhost; large_client_header_buffers 16k; client_max_body_size 300m; ...

  8. CSS Ul(列表样式)

    CSS Ul(列表样式) CSS列表属性作用如下: 设置不同的列表项标记为有序列表 设置不同的列表项标记为无序列表 设置列表项标记为图像 一.列表 在HTML中,有两种类型的列表: 无序列表 - 列表 ...

  9. Spring七大框架

    Spring Core:最基础部分,提供IOC和依赖注入.基础概念是BeanFactory,提供对Factory模式的经典实现,这样来消除对程序性单例模式的需要,并真正地允许你从程序逻辑中分离出依赖关 ...

  10. zabbix分布式监控系统安装配置

    zabbix简介: zabbix(音同 zæbix)是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案. zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供灵 ...