保加利亚科学院的12月蜜罐报告

首先需要说明的是，以下数据来自我们的Telnet和SSH蜜罐，总览如下所示。像往常一样，来自美国的攻击占据了主导地位，不过荷兰的攻击也再次活跃起来。在12月月中的时候，我们对本国（保加利亚）受感染以及攻击行为频繁的机器进行了一系列管控措施。所以保加利亚虽然还在全球前几，但相比以前已经有所下降，希望下个月情况会变得更好。

每小时的活动如下所示，蜜罐平均每秒被攻击2.3次：

近97%的攻击和Telnet有关，其余为SSH：

和最活跃恶意软件有关的前5个网址如下所示，和往常一样，都是Mirai的变种，不过原版不在其中。

而对所有恶意软件的统计也可以查看出，各种Mirai变种（IMO，“Svirtu”也是Mirai变种）占据了主导地位：

前20名攻击行为最频繁的IP的详细信息如下所示，其中和保加利亚有关的IP属于Verdina有限公司，排名第四。

攻击行为最频繁的20个组织中Verdina是保加利亚国内拥大量受感染机器的公司——本月相关的攻击有所减少，但仍接近榜首。和往常一样，最大的攻击源依旧是DigitalOcean（云主机商家）：

虽然我们每天向DigitalOcean发送几十份安全报告，但似乎并没有什么帮助：

我们能所监测到的最常用的20个密码，没有什么异常。

现在来到我们的SMB蜜罐。

首先是总预览，虽然越南也很显眼，但大部分活动还是来自俄罗斯和越南。而且针对SMB的攻击比针对Telnet和SSH的攻击要多，不过它们大多数只是扫描，真正上传文件的攻击较少。此外，似乎还有一个僵尸网络正在寻找有漏洞的机器，但并没有攻击它们：

从总数据来看，平均每秒有4.2次攻击。这类统计没有过去详细，是因为蜜罐进行了停机维护。

根据赛门铁克的安全扫描，和往常一样，攻击者所上传的恶意软件有很多是WannaCry的变种（考虑到唯一性）。

即使我们不考虑唯一性，WannaCry的样本也是相当多。

攻击最频繁的20个IP如下所示，都在我们预料之内。不过，塞尔维亚人为公司起的名字真是太长了。

发起攻击最多的20个组织如下所示。

最后是我们的ADB（Android Debug Bridge）蜜罐，远东地区占据了主导地位。

平均每半小时一次攻击。

根据Fortinet的安全扫描，上传到蜜罐的恶意软件中，老款Monero采矿软件产生了大部分ADB流量，此外还有一个有点像Mirai的shell脚本。

攻击最活跃的前20个IP如下所示。

攻击最活跃的前20个组织如下所示。

以上就是2019年12月的蜜罐总结。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://bontchev.nlcv.bas.bg/articles/?y=2020&m=01