跟踪网络扫描活动可以帮助研究人员了解哪些服务是目标。通过监控扫描仪的来源,研究人员还可以识别受攻击的终端。如果一台主机突然开始自动扫描网络,则表明它已经被攻击了。
本文总结了unit42研究人员在 2021年 5- 8 4个月期间发现。平均而言,研究人员每天识别全球唯一的7.5万台扫描仪IP地址列举了9500多个不同的端口。在面向互联网的终端上,研究人员每天观察1500个独特的扫描1900个端口IP。并不是每个扫描仪都扫描整个 IPv4 地址空间,因此每个终端上观察到的扫描仪数量低于全球观察到的扫描仪总数。
Samba、Telnet和SSH三项服务被扫描次数最多,占全球扫描流量的36%。在研究人员观察到的所有扫描仪中,64%IP四个月只出现一次,0.15%的IP每天都会出现IP高百分比表明大多数扫描仪难以跟踪。另一方面,大多数合法的扫描服务提供商,如Shodan, Censys和Shadowserver,通常使用一组固定的IP,并通过清晰的用户代理或域名识别其扫描仪。GitHub本研究中识别最频繁的扫描仪可以找到IP列表。
Prisma Cloud是一个可跨多云服务提供商的综合性云本地安全平台(csp)保护云工作载荷。Unit 42 研究人员分析了 Prisma Cloud 收集数万亿流量日志,提取网络扫描流量。AutoFocus 和 WildFire 威胁情报,Prisma Cloud 持续监控研究人员客户的恶意流量和来自研究人员客户云环境的恶意流量。
扫描流量识别
流量日志是用来记录进出云资源(如虚拟机、容器和功能)的特征IP所有主流流量csp提供各自版本的流程日志(AWS、Azure和GCP)。与NetFlow与数据一样,流程日志远没有详细的数据包捕获,但它为大规模监控网络性能和安全问题提供了有效的方法。通常,每个流程日志记录包括源IP、目的IP、源端口、目的端口、IP根据协议号、数据包大小、字节大小和时间戳。CSP不同的是,每个过程记录可能包括特定于云的额外信息,如账户ID和资源ID。NetFlow它是一种可以收集和离开网络界面的网络监控功能IP包的数量和信息最早由思科公司开发,应用于路由器和交换器。通过分析Netflow网络管理人员可以知道封包的来源和目的地,网络服务的类型,以及网络拥堵的原因。
由于流程日志没有第七层应用程序信息,因此很难确定一个流程是否携带来自单个记录的扫描有效载荷。然而,研究人员可以通过数万个终端的流量日志与多个终端相关联csp、识别和扫描区域和客户之间的流量记录。IP短时间内到达大量终端,所有流程字节/数据包大小相似,强烈表示源IP扫描操作正在进行中。以下是研究人员在流量日志中识别扫描流量的指标和条件:
源 IP 到达不同 CSP、帐户和区域的多个终端;
源IP在短时间内(如6小时内)到达所有终端;
源IP在所有终端上使用相同的协议(例如TCP端口22);
源 IP 在所有终端之间都有类似的流量模式,特别是所有终端的数据包大小、字节大小和流量计数之间的差异需要低于阈值。
扫描流量特征
互联网范围内的扫描流量通常只进行侦察,不携带恶意负荷。然而,攻击者可以使用扫描结果来识别受害者,了解受害者的基础设施,并找到潜在的入口点。从防御的角度来看,网络扫描信息可以帮助理解攻击者的目标。在了解了扫描流量后,SOC 分析师还可以从网络日志中过滤掉,从而提高取证效率。
一般来说,96%的扫描流量是TCP只有4%的流量是UDP是的。下图显示了最频繁扫描的端口和协议。下图显示TCP最后一个显示了扫描的前20个端口UDP扫描前10个端口。每栏上的标签表示在特定端口和协议上部署的最常见的服务。Samba服务通常在运行TCP端口445上,会话发起协议通常运行在UDP端口5060上。
有趣的是,前三大服务之一是半个世纪历史的协议——Telnet。Telnet远程服务器管理协议是一种简单的命令行,它不提供任何安全机制,很久以前就被更安全的协议使用了SSH取代。基于以前Unit 42研究(Mirai 变体,使用 SOHO 路由器),研究人员认为扫描流量是由搜索引起的Telnet服务暴露和未受保护的错误配置的物联网设备。
前20名被扫描最多的人TCP端口及其常用服务
最常扫描的前10个UDP端口及其常用服务
每次扫描四个月IP出现的天数
上图显示观察到每个扫描仪 IP 的天数,当扫描仪 IP 仅出现在某一天时,这表明该扫描仪在过去四个月内从未重复使用相同的 IP。所有 121 天的扫描程序都表示,扫描仪每天使用静态 IP 扫描网络。一般来说,64%的扫描IP过去四个月只出现一次,0.15%每天出现一次。研究人员发布了他们每天观察到的内容IP子集。这些IP在过去的90天里,扫描了10个目标端口。
总结
网络扫描活动就像互联网上的背景噪音。它们很常见,但没有针对性。主要目标是访问尽可能多的主机,并确定这些主机上的活动服务。扫描流量通常不是恶意的,只需要最小带宽。然而,攻击者可以使用扫描结果来识别潜在受害者。攻击者只需几分钟就能在互联网上找到新的暴露服务。如果服务配置不安全或已知漏洞,攻击者可以在几秒钟内攻击。
因为大部分扫描IP动态(64%),难以跟踪或阻止扫描流量。
本文翻译自:https://unit42.paloaltonetworks.com/cloud-network-scanning-traffic/如果转载,请注明原始地址。