網(wǎng)絡安全“慣犯”，有哪些不為人知的秘密？

　　什么是“慣犯”?

　　所謂“慣犯”，即歷史上被監(jiān)測到產(chǎn)生過多次惡意行為的攻擊源。

　　2018年，綠盟科技全年所監(jiān)控到的攻擊源“慣犯”占比為17%，“慣犯”告警數(shù)量占比為35%。“慣犯”的數(shù)量及威脅程度均不容小覷。

　　“慣犯”數(shù)量及告警分布圖

　　中國、美國是受害最為嚴重的國家，在中國，“慣犯”的地域分布主要集中在沿海經(jīng)濟發(fā)達省市。

　　“慣犯”攻擊目標國內(nèi)分布

　　《綠盟科技2018網(wǎng)絡安全觀察報告》指出，39.36%的“慣犯”曾被僵尸網(wǎng)絡所控制;27.13% 的“慣犯”參與過DDoS 攻擊，僅這兩種異常行為就占據(jù)整體比例的66.49%。網(wǎng)絡中有相當一批的僵尸主機在持續(xù)且頻繁的進行著漏洞掃描與利用行為。

　　“慣犯”異常行為類型分布

　　明確“慣犯”作案的動機、目標和手段，才能更好地改善網(wǎng)絡安全問題。基于對這些“慣犯”的長期跟蹤，綠盟科技從其攻擊特點的攻擊系統(tǒng)、攻擊服務、攻擊方法、攻擊類型四個方面進行畫像：

　　“慣犯”的畫像

　　l Windows系統(tǒng)飽受“慣犯”青睞

　　“慣犯”在一次攻擊事件中僅針對Windows發(fā)起的攻擊占比為80.87%，其次為同時針對Windows和Unix兩種操作系統(tǒng)發(fā)起攻擊，占比為13.04%。 由此可見，Windows與其他操作系統(tǒng)相比飽受慣犯青睞，承擔了絕大多數(shù)的攻擊。原因在于Windows系統(tǒng)個人電腦多，整體基數(shù)大，且可利用的安全漏洞多，容易入侵。

　　l CGI和SNMP攻擊服務占比超過一半

　　所有的攻擊類型中僅CGI和SNMP兩項就占整體比例的一半以上。CGI是網(wǎng)頁表單和程序之間通信的一種協(xié)議，本身并不負責通信，而是將輸入數(shù)據(jù)轉(zhuǎn)化成一種固定格式輸出，方便任何符合CGI協(xié)議的程序調(diào)用。SNMP是簡單網(wǎng)絡管理協(xié)議，實現(xiàn)對網(wǎng)絡設備的規(guī)范化管理，共有三個版本，其中2c版本黑客利用最多。

　　l 畸形攻擊是“慣犯”首選的攻擊方法

　　畸形攻擊占所有攻擊比例的54.24%，畸形攻擊作為網(wǎng)絡攻擊的一種，主要通過向目標系統(tǒng)發(fā)送有缺陷的報文，使得目標系統(tǒng)在處理這樣的報文時耗時很大甚至出錯、崩潰，給目標機器構(gòu)成威脅、帶來很大的損失。暴力猜解采用枚舉法逐一嘗試，雖然簡單粗暴，看起來效率不高，但對于弱口令問題往往很容易構(gòu)建字典，猜解成功。此外，木馬攻擊、溢出攻擊、掃描探測也是“慣犯”常用手法。

　　l "獲取權(quán)限類”攻擊類型最多

　　信息收集主要包括收集目標的操作系統(tǒng)類型及版本，目標所提供的服務，各服務器程序的類型與版本以及相關的社會信息;獲取權(quán)限一般發(fā)生在黑客信息收集活動之后，利用收集到的信息，找到相關的漏洞，選擇相應的攻擊方式并實施攻擊行為;在獲取權(quán)限后，黑客可以實現(xiàn)諸如挖礦病毒惡意文件下載等各類破壞行為。

　　在2018年，在綠盟科技持續(xù)監(jiān)控的攻擊源中，“慣犯”占比為17%，“慣犯”告警數(shù)量占比為35%。對這些“慣犯”的針對性跟蹤、分析、畫像、對抗等可以有效地提高安全防護的效率和效果，相應地，這些威脅統(tǒng)計信息可以作為安全行為分析的重要輸入，建立更智能的安全檢測體系。