跟踪网络扫描活动可以帮助研究人员了解哪些服务是目标。通过监控扫描仪的来源,研究人员还可以识别受损端点。如果一台主机突然开始自动扫描网络,说明它已经被攻击了。本文总结了unit42研究人员在2021年5月至8月的四个月期间的调查结果。平均而言,研究人员在全球范围内识别出75,000个唯一的扫描器IP地址,每天枚举超过9,500个不同的端口。在一个面向互联网的端点上,研究人员每天观察到1,500个针对1,900个端口的唯一扫描IP。由于并非每个扫描器都扫描整个IPv4地址空间,因此每个端点观察到的扫描器数量低于全球观察到的扫描器总数。Samba、Telnet和SSH是扫描次数最多的三种服务,占全球扫描流量的36%。在研究人员观察到的所有扫描仪中,64%的IP在四个月内仅发生一次,而0.15%的IP每天发生一次。高百分比的临时IP表明大多数扫描器都难以跟踪。另一方面,大多数合法的扫描服务提供商,如Shodan、Censys和Shadowserver,通常使用一组固定的IP,并通过显式用户代理或域名来识别他们的扫描仪。在GitHub上可以找到本研究中确定的最常见扫描仪IP的列表。PrismaCloud是一个全面的云原生安全平台,可跨多个云服务提供商(CSP)保护云工作负载。Unit42研究人员分析了PrismaCloud收集的数万亿条流量日志,以提取网络扫描流量。结合来自AutoFocus和WildFire的威胁情报,PrismaCloud持续监控针对研究人员客户和来自研究人员客户云环境的恶意流量。扫描流量以识别流量日志是一种记录进出云资源(如虚拟机、容器和功能)的IP流量的功能。所有主要的CSP都提供自己的进程日志版本(AWS、Azure和GCP)。与NetFlow数据一样,流日志远没有完整的数据包捕获那么详细,但提供了一种大规模监控网络性能和安全问题的有效方法。通常,每个进程日志记录包括源IP、目的IP、源端口、目的端口、IP协议号、数据包大小、字节大小和时间戳。根据CSP,每个进程记录可能包含额外的特定于云的信息,例如帐户ID和资源ID。NetFlow是一种网络监控功能,可以收集进入和离开网络接口的IP数据包的数量和信息。它最早由思科开发,应用于路由器、交换机等产品。通过分析Netflow收集的信息,网络管理员可以了解数据包的来源和目的地、网络服务的类型以及网络拥塞的原因。由于进程日志没有第7层应用程序信息,因此很难从单个记录确定进程是否携带扫描负载。然而,借助来自数万个端点的流量日志,研究人员可以通过关联多个CSP、区域和客户的流量记录来识别扫描的流量。如果源IP在短时间内到达大量端点,并且所有流具有相似的字节/数据包大小,则强烈表明源IP正在执行扫描操作。以下是研究人员用来识别流量日志中扫描流量的指标和条件:源IP到达跨不同CSP、帐户和区域的多个端点;源IP在短时间内(例如6小时内)到达所有端点;源IP使用相同的协议到达所有端点上的相同端口(例如TCP端口22);源IP在所有端点上具有相似的流量模式,特别是,所有端点之间的数据包大小、字节大小和流量计数的差异需要低于阈值。扫描流量特征Internet范围内的扫描流量通常只执行侦察,不携带恶意负载。但是,攻击者可以使用扫描结果来识别受害者、了解受害者的基础设施并找到潜在的入口点。从防御的角度来看,网络扫描信息可以帮助了解攻击者的目标。一旦了解了扫描的流量,SOC分析师还可以将其从网络日志中过滤掉,从而提高取证工作的效率。总体而言,96%的扫描流量是TCP,只有4%是UDP。以下两个图显示了最常扫描的端口和协议。下图显示了TCP扫描的前20个端口,最后一张显示了UDP扫描的前10个端口。每列上的标签代表部署在特定端口和协议上的最常见服务。例如,Samba服务通常在TCP端口445上运行,会话启动协议通常在UDP端口5060上运行。有趣的是,排名前三的服务之一是一个有半个世纪历史的协议Telnet。Telnet是一种简单的命令行远程服务器管理协议,不提供任何安全机制,很久以前就被更安全的协议SSH所取代。根据之前的Unit42研究(Mirai变体,利用SOHO路由器),研究人员认为,扫描的流量正在搜索配置错误的物联网设备,这些设备使Telnet服务暴露且不受保护。扫描次数最多的前20个TCP端口及其常见服务扫描次数最多的前10个UDP端口及其常见服务四个月内每个扫描IP发生的天数在某一天,这表明扫描器在过去四个月内从未重复使用过相同的IP。121天都出现的扫描仪表示扫描仪每天使用静态IP扫描网络。总体而言,64%的扫描IP在过去四个月内仅出现一次,0.15%每天出现一次。研究人员公布了他们每天观察到的IP子集。这些IP在过去90天内扫描了10个目标端口。总结网络扫描活动就像互联网上的背景噪音,它们无处不在但没有针对性。主要目标是访问尽可能多的主机并确定这些主机上的活动服务。扫描流量通常不是恶意的,并且需要最少的带宽。但是,攻击者可以使用扫描结果来识别潜在的受害者。攻击者只需几分钟就能发现网络上新暴露的服务。如果服务具有不安全的配置或已知漏洞,攻击者可以在几秒钟内破坏它。由于大多数扫描的IP是动态的(64%),因此很难跟踪或阻止扫描流量。本文翻译自:https://unit42.paloaltonetworks.com/cloud-network-scanning-traffic/如有转载请注明出处。
