惯犯跟踪
“惯犯”意为我们监控到多次进行攻击的攻击源,持续时间较长,波及面较广或者危害程度较深。针对网络中的惯犯进行针对性的分析,能够帮助感知网络态势,提升威胁情报的数据深度。我们从源 IPv6 中整理出一些国外的惯犯地址。下面对这些地址从三个不同角度做统计分析
。\1. “惯犯”跟踪一:长期采用同一攻击手段发起多次攻击
图 6.1 显示了国外地址同一地址利用同一种攻击发起的攻击次数,罗马尼亚和马来西亚是利用 同一种攻击手段发起攻击次数最多的两个国家,并且从日志名称看告警日志都是一些 Web 及 Webshell 相关的攻击,这类攻击往往简单有效,自动化
程度高。图 6.1 同一地址利用同一攻击方式多次攻击 TOP15
|IPV6地址|国家|名称|攻击次数|
|2a02:13f0:8100:1:c96b:4f11:183b:1e1c|罗马尼亚|Webshell 后门访问控制
|191||2a02:13f0:8100:1:c96b:4f11:183b:1e1c|罗马尼亚|PHP 代码执行|156|
|2a02:13f0:8100:1:1d4f:348c:23de:825b|罗马尼亚|Webshell 后门访问控制|128|
|2a02:13f0:8100:dd40:670c:986:3edb|罗马尼亚|Webshell 后门访问控制|103|
|2a02:13f0:8100:dd40:670c:986:3edb|罗马尼亚|PHP 代码执行|85|
|2a02:13f0:8100:1:dc28:521e:f479:b5e3|罗马尼亚|PHP 代码执行|69|
|2a02:13f0:8100:1:dc28:521e:f479:b5e3|罗马尼亚|Webshell 后门访问控制|66|
|2001:d08:d9:f5fa:c96:e48e:8098:963a|马来西亚|FCKEditor 任意文件上传攻击|57|
|2001:d08:d9:f5fa:c96:e48e:8098:963a|马来西亚|Webshell 后门访问控制|42|
|2a02:13f0:8100:1:4c3d:eeec:6f35:7850|罗马尼亚|PHP 代码执行|40|
|2a02:13f0:8100:1:84bc:62cc:86d5:11a3|罗马尼亚|Webshell 后门访问控制|36|
|2a02:13f0:8100:1:f10b:96fc:be04:f3f6|罗马尼亚|PHP 代码执行|33|
|2001:d08::d9:f5fa:c96:e48e:8098:963a|马来西亚|Webshell 后门访问控制|27|
|2001:d08::d9:f5fa:c96:e48e:8098:963a|马来西亚|Web 服务远程命令执行攻击|17|
|2001:d08::d9:f5fa:c96:e48e:8098:963a|马来西亚|PHP 代码执行|14|
- “惯犯”跟踪二:利用同一地址对不同目的地址发起攻击
图 6.2 是利用同一地址的攻击,列出 Top10 的排列。从统计信息来看也是以罗马尼亚和马来西 亚为主要攻击者,攻击的对象都是我国国内的高校。攻击者之所以选择高校作为攻击对象,主 要是因为目前国内高校在大量使用 IPv6 网络,其次,高校以教育科研为目的,对于 IPv6 的使 用和研究,不免会暴露出一些问题,正好成为攻击者可以利用的切入点。
图 6.2 利用同一地址对不同目的地址发起攻击 Top10
|源 IPV6地址|所属国家|被攻击地址|所属单位|不同目的数量|
|2a02:13f0:8100:1:c96b:4f11:183b:1e1c|罗马尼亚|2001:***:4803:3 2001:***:4803:51 2001:***:3422:121 2001:***:540c:10:10|河南 **大学 安徽 **大学 **学院|4|
|2a02:13f0:8100:1:dd40:674c:986:3ed6|罗马尼亚|2001:***:3422:121 2001:***:540c:10:10 2001:***:4803:3 2001:***:4803:51|河南 **大学 安徽 **大学 **学院|4|
|2001:d08:d9:f5fa:c96:e48e:8098:963a|马来西亚|2001:***:3422:121 2001:***:540c:10:10 2001:***:3038::11236 240e:***:d000:98:10|广东 **大学 安徽 **大学 **学院|4|
|2a02:13f0:8100:1:dc28:521e:f479:b5e3|罗马尼亚|2001:***:3422::121 2001:***:540c:10::10 240e:***:d000:98::10|安徽 **大学 **学院 **电信|3|
|2a02:13f0:8100:1:c5e5:1c1:bac6:5951|罗马尼亚|2001:***:540c:10::10 20001:***:e02f:0:210:32:80:95 240e:***:d000:98::10|安徽 **大学 **学院 **电信|3|
|2a02:1ef0:8100:1:ddbc:ea0a:b11e:7f16|罗马尼亚|2001:***:3038::112:36 2001:***:540c:10:10 2001:***:3422:121|广东 **大学 安徽 **大学 **学院|3|
|2a02:13f0:8100:1:4c3d:eeec:6f35:7850|罗马尼亚|2001:***:4803:51 2001:***:4903:3 240e:***:d000:98:10|河南 **大学 **电信|3|
|2a02:13f0:8100:1:f10b:96fc:be04:f3f6|罗马尼亚|2001:***:3422:121 240e:***:d000:98:10|**学院 **电信|3|
|2a02:13f0:8100:1:1d4f:348c:23de:825b|罗马尼亚|2001:***:3422:121 240e:***:d000:98:10|**学院 安徽 **大学|2|
|2a02:13f0:8100:1:c58b:66e5:56d3:5245|罗马尼亚|2001:***:3422:121 2001:***:4803:51
2001:***:4803:3
|**学院 河南 **大学|3| - “惯犯”跟踪三:同一地址采用不同攻击手段发起攻击
图 6.3 是同一地址采用不同攻击手段发起攻击。不管是美国还是马来西亚,针对基于 IPv6 地址 的攻击绝不会只采用同一种攻击方式,而是采用组合拳形式,对目标发起攻击。同时攻击者也 会在不同的时间,不同的阶段采用不同的攻击手法来达到目的。
图 6.3 同一地址采用不同攻击手段发起攻击
|地址|国家|不同攻击类型(种)|
|2001:d08:d9:f5fa:c96:e48e:8098:963a|马来西亚|7|
|2001:d08:d9:df22:1428:a7d0:87c5:fa26|马来西亚|6|
|2a02:13f0:8100:1:a8a8:46c4:aef7:2bbc|罗马尼亚|4|
|2001:503:231d::2:30|美国|3|
|2001:d08:d9:f5fa:2918:32e6:2e3f:355d|马来西亚|3|
|2607:f130:0:dd:225:90ff:fead:66e6|美国|3|
|2607:f130:0:dd:225:90ff:f3d5:d8f0|美国|3|
|2a00:f940:2:2:1:5:0:42|俄罗斯|3|
|2a02:13f0:8100:1:1d4f:348c:23de:825b|罗马尼亚|3|
总结
推进 IPv6 规模部署是当下及今后国家发展互联网产业,把握全球网络的主动权,提高网络安全的必要途径。针对 IPv6 网络层协议及之上应用的漏洞防护,依然是安全企业乃至国家的战略重点。而我
国目前的 IPv6 的使用还是以高校、研究机构、运营商及跨国企业为主,对于 IPv6 的研究和使用也是在 近几年才真正提上日程。从已发布的 IPv6 的漏洞看,针对 IPv6 的攻击绝大部分还是以拒绝服务为主。 国内对于 IPv6 地址攻击的防护也是处于起步阶段,相对来说比较弱。从我们的数据分析也能看出:
- 国外已经在大量使用 IPv6 提供服务,包括企业、CDN 厂商、DNS 厂商等。
- 国内 IPv6 的使用范围较小。
- 国外已经存在利用 IPv6 地址向国内单位发起攻击的情况。
- 随着我国 IPv6 建设的推进,针对 IPv4 网络的攻击已经在逐步复制到 IPv6 网络中,并且有扩散 趋势。
尽管目前国家在主导、提倡发展 IPv6 网络,但是从我们获取的数据上看,国内 IPv6 根服务还没有 充分发挥作用,目前还是要依赖国外的 IPv6 DNS 解析。
篇幅所限,本文并未对攻击利用的漏洞,攻击手法做进一步的情报挖掘,同时由于设备部署的限制, 仅从简单的地理位置,统计分析和威胁情报入手,试图描述 IPv6 环境下的安全现状,并不能代表全网 IPv6 态势。此外,本文也没有从针对 IPv6 协议本身的攻击角度去阐述当前 IPv6 的漏洞影响。
从数据反馈来看,在当前阶段,基于 IPv6 地址的应用层的攻击已经成为攻击者最简单和高效的攻
击方式, IPv6 的管理者应首要关注的是传统安全威胁在 IPv6 环境下的演进。总的来说,对于 IPv6 的防 护不仅要考虑对 IPv6 协议自身安全的研究,而且需要加强对其之上应用的防护。
绿盟科技天枢实验室
天枢实验室聚焦安全数据、AI 攻防等方面研究,以期在“数据智能”领域获得突破。
绿盟科技威胁情报中心(NTI )
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是绿盟科技为落实智慧安全 2.0 战略,促进网 络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的 安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、 应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品, 为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。
参考资料
友情链接
网络安全产业高质量发展三年行动计划 (2021-2023年)
来源地址:https://blog.csdn.net/m0_73803866/article/details/127544743