你能想象有一天��,家里的大門隨時(shí)被輕易打開(kāi)����,然后被盜竊、放炸彈��、裝偷聽(tīng)器等等嗎��?如果你服務(wù)器的SSH 服務(wù)被破解����,服務(wù)器就會(huì)遇到上述安全問(wèn)題,只是服務(wù)器被盜走的是比金錢更貴重的東西——數(shù)據(jù)��,與炸彈破壞力相當(dāng)?shù)氖悄抉R病毒��,而被入侵后則像是在你家裝了偷聽(tīng)器與攝像頭����,監(jiān)視著你的一舉一動(dòng),甚至操縱著它��,比如刪掉你的所有數(shù)據(jù)��。物聯(lián)網(wǎng)設(shè)備也未能幸免���。
SSH 暴力破解是一種對(duì)遠(yuǎn)程登錄設(shè)備(比如云服務(wù)器)的暴力攻擊�����,該攻擊會(huì)使用各種用戶名�����、密碼嘗試登錄設(shè)備���,一旦成功登錄,便可獲得設(shè)備權(quán)限�。目前,SSH 暴力破解攻擊已遍布全球160多個(gè)國(guó)家�,該攻擊主要瞄準(zhǔn)使用默認(rèn)賬號(hào)密碼的用戶��。由于虛擬貨幣的興起��,攻擊者不再僅僅利用通過(guò) SSH 暴力破解控制的設(shè)備來(lái)進(jìn)行 ddos 攻擊��,還用來(lái)挖礦�,牟取利益���。
所以�,接下來(lái)我們針對(duì)本期內(nèi)容劃重點(diǎn)�����,提醒用戶如何更加有效地堤防SSH暴力破解:
您是屬于容易中招的用戶群?jiǎn)??DDoS 類型惡意文件占比近七成,攻擊者利用惡意樣本「一路賺錢」挖礦主要攻擊目標(biāo)正從云平臺(tái)向物聯(lián)網(wǎng)設(shè)備遷移攻擊源區(qū)域分布
SSH暴力破解攻擊瞄準(zhǔn)這類用戶����,看看你中招了沒(méi)?
SSH 暴力破解攻擊目標(biāo)主要分為 Linux 服務(wù)器(包括傳統(tǒng)服務(wù)器��、云服務(wù)器等)與物聯(lián)網(wǎng)設(shè)備��。近期統(tǒng)計(jì)的 SSH 暴力破解登錄數(shù)據(jù)分析發(fā)現(xiàn):
1��、接近99%的 SSH 暴力破解攻擊是針對(duì)系統(tǒng)默認(rèn)的用戶名, admin���、root�����、test占據(jù)榜單前三;
2����、攻擊最常用弱密碼前三名分別是 admin、 password���、 root�����,占攻擊次數(shù)的98.70%�;
3��、約85%的 SSH 暴力破解攻擊使用了admin / admin 與 admin / password 這兩組用戶名密碼組合����。
△ 攻擊者所使用的 SSH 暴力破解攻擊字典 Top 20
根據(jù)上圖所示����,大量 SSH 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組用戶名密碼組合��,而這兩組用戶名密碼組合���,正是路由器最常用的默認(rèn)用戶名密碼組合�����。由此可知���,使用上述默認(rèn)配置的路由器設(shè)備已成為攻擊的主要目標(biāo)。
DDoS?類型惡意文件占比近七成��,攻擊者利用惡意樣本「一路賺錢」挖礦
SSH暴力破解攻擊后����,攻擊者對(duì)服務(wù)器植入惡意文件,分析發(fā)現(xiàn)����,攻擊成功后多數(shù)都是植入 ELF 可執(zhí)行文件。植入的惡意文件中反病毒引擎檢測(cè)到病毒占比43.05%,病毒文件中屬 DDoS 類型的惡意文件最多�����,接近70%���,包括 Ganiw��、 Dofloo�、 Mirai�、 Xarcen��、 PNScan���、 LuaBot�、 Ddostf 等家族����。另外,僅從這批惡意文件中�,就發(fā)現(xiàn)了比特幣等挖礦程序占5.21%。
在對(duì)2018年06月10日7點(diǎn)12分發(fā)現(xiàn)的一次 SSH 暴力破解攻擊進(jìn)行溯源分析發(fā)現(xiàn)��,在暴力攻擊后,攻擊者在設(shè)備中植入了 DDoS 家族的 Ddostf 僵尸程序和「一路賺錢」惡意挖礦程序這兩個(gè)惡意樣本���。
被植入的「一路賺錢」64位 Linux 客戶端壓縮包解壓后自動(dòng)運(yùn)行客戶端主程序 mservice 并注冊(cè)為 Linux 系統(tǒng)服務(wù)�����,該客戶端文件夾中有三個(gè)可執(zhí)行文件 mservice / xige / xig����,其中mservice 負(fù)責(zé)賬號(hào)登錄/設(shè)備注冊(cè)/上報(bào)實(shí)時(shí)信息����,而xige 和 xig負(fù)責(zé)挖礦, xige 挖以太幣 ETH�,xig 挖門羅幣 XMR。
此次 SSH 暴力破解攻擊中��,攻擊者不僅利用僵尸程序發(fā)動(dòng) DDoS 牟取利益����,同時(shí)在設(shè)備空閑時(shí)還可進(jìn)行挖礦,達(dá)到設(shè)備資源的最大利用����。另外����,隨著「一路賺錢」這種小白挖礦程序的興起���,降低了挖礦的技術(shù)難度����,未來(lái)可能會(huì)出現(xiàn)更多類似事件��。
主要攻擊目標(biāo)正從云平臺(tái)向物聯(lián)網(wǎng)設(shè)備遷移�,用戶需自查設(shè)備清理可疑程序
對(duì) SSH 暴力破解攻擊進(jìn)行綜合分析后,研究還指出���,物聯(lián)網(wǎng)的發(fā)展使設(shè)備數(shù)量呈現(xiàn)出指數(shù)級(jí)增長(zhǎng),物聯(lián)網(wǎng)設(shè)備也逐漸成為主要的攻擊目標(biāo)�����。未來(lái)攻擊者還將繼續(xù)租用國(guó)外的服務(wù)器進(jìn)行大規(guī)模攻擊����。
攻擊源地域:遍布全球160多個(gè)國(guó)家
最近統(tǒng)計(jì)到的SSH 暴力破解攻擊來(lái)自160多個(gè)國(guó)家。從攻擊的源 IP 來(lái)看�,來(lái)自中國(guó)的攻擊源 IP 最多,占比達(dá)到26.7%,巴西��、越南�、美國(guó)不相上下。在國(guó)內(nèi)���,攻擊源 IP 分布廣泛且平均��,沒(méi)有出現(xiàn)攻擊源 IP 特別集中的省市�。這是因?yàn)楣粽邽榱穗[藏自己真實(shí)位置�����,躲避追蹤���,使用了不同地區(qū)的 IP 進(jìn)行攻擊�。
針對(duì)這種情況��,我們?yōu)榧夹g(shù)型用戶與普通用戶提供了幾種不同的安全建議:
對(duì)于技術(shù)型用戶來(lái)說(shuō)����,用戶可以對(duì)自己的設(shè)備進(jìn)行定期自查,檢查是否有可疑程序運(yùn)行并及時(shí)清理����;設(shè)備的 SSH 服務(wù)僅開(kāi)放密鑰驗(yàn)證方式���,禁止 root 用戶登錄,修改默認(rèn)端口����;修改默認(rèn)密碼,新密碼最少8位��,且包含大小寫字母����、數(shù)字、特殊字符����。并檢查是否使用了文中提到的弱密碼。若使用了弱密碼����,也需要修改密碼�����,加強(qiáng)安全性。普通用戶則需要選擇可靠的安全防護(hù)產(chǎn)品��,對(duì)數(shù)據(jù)安全進(jìn)行保護(hù)�����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
