工作来源

IMC 2023

工作背景

在野的蜜罐可以用来捕获攻击活动，GreyNoise 与 NetScount 等公司也利用蜜罐数据构建自己的安全产品。单个蜜罐和遍布全球的蜜场，能够看到的数据维度和视野还是存在差别的。

工作设计

全球网络联盟（GCA）于 2021 年 11 月底开始运营一个庞大的蜜场，研究人员与其合作展开了分析。基于全球的蜜罐视野、超过一年的超长跟踪周期，对威胁进行深入了解。

工作准备

利用全球 55 个国家/地区的 221个中交互蜜罐（Cowrie），在 15 个月（2021.11-2023.03）内收集了 4 亿次会话数据。

会话中的 75.84% 都使用 SSH，剩余 24.16% 使用 Telnet。每个蜜罐的会话数量差异很大，最多 163 万/天最少不足百次。TOP10 的蜜罐占了所有会话的14%，这十个蜜罐分布在不同的十个国家/地区。

所有蜜罐的中位数、四分位数的情况如下所示：

前 5% 蜜罐的统计数据如下所示：

很明显在 2022 年 9 月初存在峰值，但中位数于四分位数通常更为平滑。

蜜罐一共记录五种会话类型：

• NO_CRED：只扫描端口不尝试登录

• FAIL_LOG：不成功的root 账户登录

• NO_CMD：成功登录但不执行任何命令

• MD：执行命令但不访问外部资源

• MD+URI：明确通过URI访问外部资源

可以将对端分为以下几种行为：扫描、侦察、入侵，统计表格如下所示：

SSH 占比超过四分之三，就算成功登录真正执行命令的实际上都很少。

十个最常见的密码如下所示：

各类会话的占比变化如下所示，NO_CRED 的比例在增长表明扫描的活动在增加，NO_CMD 也有大量增长。

各类会话的持续时间如下所示，成功登录但不执行任何命令的情况下，超过九成都由于超时被蜜罐终止了会话。

所有蜜罐的活动如下所示：

前 5% 蜜罐的活动如下所示，根据数据可以看出扫描一刻不停；峰值主要由一小部分蜜罐观测到的活动产生。

连接蜜罐的 210 万个 IP 地址，来自超过 17700 个自治域。归属国家/地区最多的是中国、印度、美国、俄罗斯、巴西、中国台湾、墨西哥与伊朗。

每天观测到的 IP 地址数如下所示。观测开始两个月后扫描行为开始大幅度增加，似乎是扫描仪需要一段时间才能将蜜罐纳入常规扫描。

超过 40% 的客户端 IP 只会与单个蜜罐通联，18% 的客户端 IP 会通联超过 10个蜜罐，也有 2% 的客户端 IP 会通联超过一半的蜜罐。令人惊讶的是，与蜜罐交互更多的，反而会通联更多的蜜罐。

大多数客户端 IP 地址只出现一天，但也有一百多个 IP 地址几乎每天都出现。

进行扫描的 IP 地址数量是更多交互行为的 IP 地址的两倍多，FAIL_LOG 与 CMD_ONLY 几乎是同频共振。

扫描通常与登录尝试与命令执行结合在一起，超过 70 万个 IP 地址只涉及扫描行为。

跨大陆的 IP 地址大概占到一半左右，地域局限性是很小的。但当要执行命令时，跨大陆的 IP地址比例就少很多，可能具体执行时地域局限更重要。

使用的最常见的命令如下所示，不过多解释了。

一共写入了 64004 个不同的文件，通过 VirusTotal 进行检索获取到了不到一千个文件的信息，大多都是恶意文件。又扩展了其他来源的数据，总结如下所示。按会话数排名 TOP20 的文件中，六个 Mirai、五个恶意程序、四个木马、三个未知、两个挖矿程序。

按 IP 数量排行与按活跃时间排行，如下所示。Mirai 占据统治地位，不仅范围广，持续时间也长。

每天收集到的文件数从几十到三千不等，这些文件往往都是新的。

TOP 10 的蜜罐发现的文件比其他蜜罐多得多，但总量其实占比也并不高，仍然有相当大的长尾。

60% 的文件只由单个蜜罐发现，6.8% 的文件由超过 10 个蜜罐发现，200 多个文件被一半以上的蜜罐发现。

有的文件与很多 IP 地址有关，有的文件只与少数 IP 地址有关。

一些哈希由少量 IP 地址驱动，而涉及很多 IP 地址的很有可能是一个庞大的僵尸网络。

大多数的文件只在一天内活跃，木马的活跃天数更长，Mirai 则会持续大概一个月。

工作思考

上一个顶会做大规模蜜罐的，印象里是 Web 应用的高交互蜜罐，也得大概小十年或者十多年了吧。这个工作属于中低交互蜜罐，主要也是看到了大量的扫描。

不过说实话，工作中说文件的长尾不奇怪，但文件都是新的的比例有点出乎意料的高。“大多数文件只在一天内活跃”，可能意味着扫描的主要来源其实不是大规模的僵尸网络。