跟蹤網(wǎng)絡(luò)掃描活動(dòng)可以幫助研究人員了解哪些服務(wù)是目標(biāo),。通過(guò)監(jiān)控掃描儀的來(lái)源,,研究人員還可以識(shí)別受攻擊的終端,。如果一臺(tái)主機(jī)突然開(kāi)始自動(dòng)掃描網(wǎng)絡(luò),,則表明它已經(jīng)被攻擊了。
本文總結(jié)了unit42研究人員在 2021 年 5 月至 8 月四個(gè)月期間的發(fā)現(xiàn),。平均下來(lái),,研究人員每天在全球范圍內(nèi)識(shí)別75000個(gè)惟一掃描儀IP地址,枚舉超過(guò)9500個(gè)不同的端口,。在一個(gè)面向互聯(lián)網(wǎng)的終端上,,研究人員每天觀察1500個(gè)針對(duì)1900個(gè)端口的獨(dú)特掃描IP。由于并非每個(gè)掃描儀都掃描整個(gè) IPv4 地址空間,,因此在每個(gè)終端上觀察到的掃描儀數(shù)量低于全球觀察到的掃描儀總數(shù),。
Samba、Telnet和SSH是被掃描次數(shù)最多的三個(gè)服務(wù),,占全球掃描流量的36%,。在研究人員觀察到的所有掃描儀中,64%的IP在四個(gè)月內(nèi)只出現(xiàn)一次,,而0.15%的IP每天都會(huì)出現(xiàn),。臨時(shí)IP的高百分比表明大多數(shù)掃描儀很難被跟蹤。另一方面,,大多數(shù)合法的掃描服務(wù)提供商,,如Shodan, Censys和Shadowserver,,通常使用一組固定的IP,并通過(guò)明確的用戶(hù)代理或域名來(lái)識(shí)別他們的掃描儀,。在GitHub上可以找到本研究中識(shí)別的最頻繁的掃描儀IP列表,。
Prisma Cloud是一個(gè)綜合性的云本地安全平臺(tái),可以跨多個(gè)云服務(wù)提供商(csp)保護(hù)云工作載荷,。Unit 42 研究人員分析了 Prisma Cloud 收集的數(shù)萬(wàn)億流量日志,,以提取網(wǎng)絡(luò)掃描流量。結(jié)合來(lái)自 AutoFocus 和 WildFire 的威脅情報(bào),,Prisma Cloud 持續(xù)監(jiān)控針對(duì)研究人員客戶(hù)的惡意流量和源自研究人員客戶(hù)云環(huán)境的惡意流量,。
掃描流量識(shí)別
流量日志是一種特性,用于記錄進(jìn)出云資源(如虛擬機(jī),、容器和功能)的IP流量,。所有主流的csp都提供了各自版本的流程日志(AWS、Azure和GCP),。與NetFlow數(shù)據(jù)一樣,,流程日志遠(yuǎn)沒(méi)有完整的數(shù)據(jù)包捕獲詳細(xì),但提供了大規(guī)模監(jiān)控網(wǎng)絡(luò)性能和安全問(wèn)題的有效方法,。通常,每條流程日志記錄包括源IP,、目的IP,、源端口、目的端口,、IP協(xié)議號(hào),、數(shù)據(jù)包大小、字節(jié)大小和時(shí)間戳,。根據(jù)CSP的不同,,每個(gè)流程記錄可能包括額外的特定于云的信息,如帳戶(hù)ID和資源ID,。NetFlow是一種網(wǎng)絡(luò)監(jiān)測(cè)功能,,可以收集進(jìn)入及離開(kāi)網(wǎng)絡(luò)界面的IP封包的數(shù)量及資訊,最早由思科公司研發(fā),,應(yīng)用在路由器及交換器等產(chǎn)品上,。經(jīng)由分析Netflow收集到的資訊,網(wǎng)絡(luò)管理人員可以知道封包的來(lái)源及目的地,,網(wǎng)絡(luò)服務(wù)的種類(lèi),,以及造成網(wǎng)絡(luò)擁塞的原因。
由于流程日志沒(méi)有第7層應(yīng)用程序信息,,因此很難確定一個(gè)流程是否攜帶來(lái)自單個(gè)記錄的掃描有效載荷,。然而,通過(guò)數(shù)萬(wàn)個(gè)終端的流量日志,研究人員可以通過(guò)關(guān)聯(lián)多個(gè)csp,、區(qū)域和客戶(hù)之間的流量記錄,,識(shí)別掃描流量。如果源IP在短時(shí)間內(nèi)到達(dá)大量終端,,并且所有流程具有相似的字節(jié)/數(shù)據(jù)包大小,,則強(qiáng)烈地表明源IP正在執(zhí)行掃描操作。以下是研究人員用來(lái)在流量日志中識(shí)別掃描流量的指標(biāo)和條件:
源 IP 到達(dá)不同 CSP,、帳戶(hù)和區(qū)域的多個(gè)終端,;
源IP在短時(shí)間內(nèi)(例如6小時(shí)內(nèi))到達(dá)所有終端;
源IP使用相同的協(xié)議到達(dá)所有終端上的相同端口(例如TCP端口22),;
源 IP 在所有終端之間具有相似的流量模式,,特別是,所有終端的數(shù)據(jù)包大小,、字節(jié)大小和流量計(jì)數(shù)的差異需要低于閾值,。
掃描流量特征
互聯(lián)網(wǎng)范圍的掃描流量通常只執(zhí)行偵察,不攜帶惡意載荷,。然而,,攻擊者可以使用掃描結(jié)果來(lái)識(shí)別受害者,了解受害者的基礎(chǔ)設(shè)施并找到潛在的入口點(diǎn),。從防御的角度來(lái)看,,網(wǎng)絡(luò)掃描信息可以幫助了解攻擊者的目標(biāo)。了解掃描流量后,,SOC 分析師還可以將其從網(wǎng)絡(luò)日志中過(guò)濾掉,,從而提高取證工作的效率。
總的來(lái)說(shuō),,96%的掃描流量是TCP的,,只有4%的流量是UDP的。下面兩個(gè)圖顯示了最頻繁掃描的端口和協(xié)議,。下圖顯示了TCP掃描的前20個(gè)端口,,最后一個(gè)顯示了UDP掃描的前10個(gè)端口。每個(gè)欄上的標(biāo)簽表示在特定的端口和協(xié)議上部署的最常見(jiàn)的服務(wù),。例如,,Samba服務(wù)通常運(yùn)行在TCP端口445上,會(huì)話(huà)發(fā)起協(xié)議通常運(yùn)行在UDP端口5060上,。
有趣的是,,排名前三的服務(wù)之一是一種已有半個(gè)世紀(jì)歷史的協(xié)議——Telnet。Telnet是一種簡(jiǎn)單的命令行遠(yuǎn)程服務(wù)器管理協(xié)議,,它不提供任何安全機(jī)制,,很早以前就被更安全的協(xié)議SSH所取代,。基于之前Unit 42研究(Mirai 變體,,被利用的 SOHO 路由器),,研究人員認(rèn)為掃描流量是在搜索導(dǎo)致Telnet服務(wù)暴露和未受保護(hù)的錯(cuò)誤配置的物聯(lián)網(wǎng)設(shè)備。
前20個(gè)被掃描最多的TCP端口及其常用服務(wù)
前10個(gè)最常掃描的UDP端口及其常用服務(wù)
四個(gè)月內(nèi)每個(gè)掃描IP出現(xiàn)的天數(shù)
上圖顯示了觀察到每個(gè)掃描儀 IP 的天數(shù),,當(dāng)一個(gè)掃描儀 IP 僅出現(xiàn)在某一天時(shí),,這表明該掃描儀在過(guò)去四個(gè)月內(nèi)從未重復(fù)使用相同的 IP。出現(xiàn)在所有 121 天的掃描程序表示該掃描儀每天使用靜態(tài) IP 掃描網(wǎng)絡(luò),??偟膩?lái)說(shuō),64%的掃描IP在過(guò)去四個(gè)月只出現(xiàn)一次,,0.15%每天出現(xiàn)一次,。研究人員發(fā)布了他們每天觀察到的IP子集。這些IP在過(guò)去90天內(nèi)掃描了10個(gè)目標(biāo)端口,。
總結(jié)
網(wǎng)絡(luò)掃描活動(dòng)就像是互聯(lián)網(wǎng)上的背景噪音,,它們很普遍,但沒(méi)有針對(duì)性,。主要目標(biāo)是訪問(wèn)盡可能多的主機(jī),,并確定這些主機(jī)上的活動(dòng)服務(wù)。掃描流量通常不是惡意的,,只需要最小的帶寬,。然而,攻擊者可以利用掃描結(jié)果來(lái)識(shí)別潛在的受害者,。攻擊者只需幾分鐘就能發(fā)現(xiàn)網(wǎng)絡(luò)上新暴露的服務(wù)。如果服務(wù)具有不安全的配置或已知漏洞,,攻擊者可以在幾秒鐘內(nèi)攻擊它,。
由于大多數(shù)掃描IP都是動(dòng)態(tài)的(64%),因此很難跟蹤或阻止掃描流量,。
