跟蹤網絡掃描活動可以幫助研究人員了解哪些服務是目標。通過監控掃描儀的來源,研究人員還可以識別受攻擊的終端。如果一臺主機突然開始自動掃描網絡,則表明它已經被攻擊了。
本文總結了unit42研究人員在 2021 年 5 月至 8 月四個月期間的發現。平均下來,研究人員每天在全球范圍內識別75000個惟一掃描儀IP地址,枚舉超過9500個不同的端口。在一個面向互聯網的終端上,研究人員每天觀察1500個針對1900個端口的獨特掃描IP。由于并非每個掃描儀都掃描整個 IPv4 地址空間,因此在每個終端上觀察到的掃描儀數量低于全球觀察到的掃描儀總數。
Samba、Telnet和SSH是被掃描次數最多的三個服務,占全球掃描流量的36%。在研究人員觀察到的所有掃描儀中,64%的IP在四個月內只出現一次,而0.15%的IP每天都會出現。臨時IP的高百分比表明大多數掃描儀很難被跟蹤。另一方面,大多數合法的掃描服務提供商,如Shodan, Censys和Shadowserver,通常使用一組固定的IP,并通過明確的用戶代理或域名來識別他們的掃描儀。在GitHub上可以找到本研究中識別的最頻繁的掃描儀IP列表。
Prisma Cloud是一個綜合性的云本地安全平臺,可以跨多個云服務提供商(csp)保護云工作載荷。Unit 42 研究人員分析了 Prisma Cloud 收集的數萬億流量日志,以提取網絡掃描流量。結合來自 AutoFocus 和 WildFire 的威脅情報,Prisma Cloud 持續監控針對研究人員客戶的惡意流量和源自研究人員客戶云環境的惡意流量。
掃描流量識別
流量日志是一種特性,用于記錄進出云資源(如虛擬機、容器和功能)的IP流量。所有主流的csp都提供了各自版本的流程日志(AWS、Azure和GCP)。與NetFlow數據一樣,流程日志遠沒有完整的數據包捕獲詳細,但提供了大規模監控網絡性能和安全問題的有效方法。通常,每條流程日志記錄包括源IP、目的IP、源端口、目的端口、IP協議號、數據包大小、字節大小和時間戳。根據CSP的不同,每個流程記錄可能包括額外的特定于云的信息,如帳戶ID和資源ID。NetFlow是一種網絡監測功能,可以收集進入及離開網絡界面的IP封包的數量及資訊,最早由思科公司研發,應用在路由器及交換器等產品上。經由分析Netflow收集到的資訊,網絡管理人員可以知道封包的來源及目的地,網絡服務的種類,以及造成網絡擁塞的原因。
由于流程日志沒有第7層應用程序信息,因此很難確定一個流程是否攜帶來自單個記錄的掃描有效載荷。然而,通過數萬個終端的流量日志,研究人員可以通過關聯多個csp、區域和客戶之間的流量記錄,識別掃描流量。如果源IP在短時間內到達大量終端,并且所有流程具有相似的字節/數據包大小,則強烈地表明源IP正在執行掃描操作。以下是研究人員用來在流量日志中識別掃描流量的指標和條件:
源 IP 到達不同 CSP、帳戶和區域的多個終端;
源IP在短時間內(例如6小時內)到達所有終端;
源IP使用相同的協議到達所有終端上的相同端口(例如TCP端口22);
源 IP 在所有終端之間具有相似的流量模式,特別是,所有終端的數據包大小、字節大小和流量計數的差異需要低于閾值。
掃描流量特征
互聯網范圍的掃描流量通常只執行偵察,不攜帶惡意載荷。然而,攻擊者可以使用掃描結果來識別受害者,了解受害者的基礎設施并找到潛在的入口點。從防御的角度來看,網絡掃描信息可以幫助了解攻擊者的目標。了解掃描流量后,SOC 分析師還可以將其從網絡日志中過濾掉,從而提高取證工作的效率。
總的來說,96%的掃描流量是TCP的,只有4%的流量是UDP的。下面兩個圖顯示了最頻繁掃描的端口和協議。下圖顯示了TCP掃描的前20個端口,最后一個顯示了UDP掃描的前10個端口。每個欄上的標簽表示在特定的端口和協議上部署的最常見的服務。例如,Samba服務通常運行在TCP端口445上,會話發起協議通常運行在UDP端口5060上。
有趣的是,排名前三的服務之一是一種已有半個世紀歷史的協議——Telnet。Telnet是一種簡單的命令行遠程服務器管理協議,它不提供任何安全機制,很早以前就被更安全的協議SSH所取代。基于之前Unit 42研究(Mirai 變體,被利用的 SOHO 路由器),研究人員認為掃描流量是在搜索導致Telnet服務暴露和未受保護的錯誤配置的物聯網設備。
前20個被掃描最多的TCP端口及其常用服務
前10個最常掃描的UDP端口及其常用服務
四個月內每個掃描IP出現的天數
上圖顯示了觀察到每個掃描儀 IP 的天數,當一個掃描儀 IP 僅出現在某一天時,這表明該掃描儀在過去四個月內從未重復使用相同的 IP。出現在所有 121 天的掃描程序表示該掃描儀每天使用靜態 IP 掃描網絡。總的來說,64%的掃描IP在過去四個月只出現一次,0.15%每天出現一次。研究人員發布了他們每天觀察到的IP子集。這些IP在過去90天內掃描了10個目標端口。
總結
網絡掃描活動就像是互聯網上的背景噪音,它們很普遍,但沒有針對性。主要目標是訪問盡可能多的主機,并確定這些主機上的活動服務。掃描流量通常不是惡意的,只需要最小的帶寬。然而,攻擊者可以利用掃描結果來識別潛在的受害者。攻擊者只需幾分鐘就能發現網絡上新暴露的服務。如果服務具有不安全的配置或已知漏洞,攻擊者可以在幾秒鐘內攻擊它。
由于大多數掃描IP都是動態的(64%),因此很難跟蹤或阻止掃描流量。
