onHacks

誰在入侵我的系統？ ~”誰會理我” 是錯的~

1. 誰想攻擊
2. 不速之客
3. 有何可攻
4. 掃毒作用
5. 文章總結

為了回答 “誰在入侵我的系統“，我們專門準備了一台 Nepenthes 蜜罐。於七月一日二零零九年至同月二十五日為止，利用這台蜜罐收集資料。這部蜜罐從沒公開過，我們知這所有來訪者都是惡意的，就是說，它的身份和大家的家用電腦無異，每天你的電腦也有著類似的事件發生。

1. 誰想攻擊

很多相信攻擊者只會對有很有價值的政府機構、銀行和大公司進行攻擊。對於自己的一小部家用電腦，一點國家機密和財產也沒有，且無助於攻擊 MSS 和 FBI，誰會想理會呢？

可惜，這只是幻想。

你的電腦將會被用作踏腳石作下一輪的攻勢。當執法機關追蹤源頭時發現是你的電腦時，你可能會被冤旺或幫了攻擊者逃走脱罪。攻擊者會把偷來的資料放在你的電腦上面，更甚者更會把你電腦的銀行資料、密碼、信用卡資料和公司資料盗去，用來冒著你的身份做違法的事。

利用蜜罐，我們將推返這些錯誤觀念。

資料全都是從 Nepenthes 的日誌 (Log) 抽取。一件事件 (Event) 是由多項 記錄 (Log Entry) 組成，當中資料有 起始 和 結束 時間、被攻擊的服務、下載了的攻擊的 MD5 和 SHA1 、下載的源頭、遠方和本地的地址和端口等等。

2. 不速之客

在 25 日內有 11981 攻擊 來自全球 115 地方。當中有代理和真實的電腦。但觀乎地區的廣範性，可知攻擊並無界域，只有地址。

雖然來自日本有最多的攻擊，但我們不能確定它們是否源頭。能告訴你的是，每一個攻擊都是真實並會毒害你的電腦。

3. 有何可攻

以下為25日來的端口攻擊圖。

和之前 “誰在入侵我的系統？ ~掃視日誌~” 一致，端口 445、135和139 最為流行。值得留意是排行第4多的 8581 都受到攻擊，但這不是 Nepenthes 所支援的漏洞。這個全都是在 七月二十五 日的攻擊。

這是被攻擊的漏洞：

最流行仍然是 MS04-007 和 暴風。注意Nepenthes 沒能認出所有攻擊，因為不是所有攻擊 Nepenthes 都能模仿，以及有時沒有足夠資料。受攻擊最多仍是 445、135和139，由於現在的操作系統少了很多 “0動作” 攻擊，所以攻擊還是圍繞著舊時代的攻擊。

4. 掃毒作用

在這些攻擊中，Nepenthes 成功收集了 193 個執行檔 以用來攻擊我們電腦，當中有 53 種類型。我們把這 53 種都發去 ClamAV 掃描，並將經過 Gmail 送去 VirusTotal 掃毒。

ClamAV 資料 :

$ clamscan -V
ClamAV 0.95.1/9614/Sun Jul 26 10:10:14 2009

在 53 個執行檔中，有 41 個能被 ClamAV 掃出來，我們將這 12 個檔 再發去 VirusTotal。結局都被種種掃毒軟件掃了出來。

當中被 ClamAV 掃出來 的 53 個類型包括有以下種類 :

Trojan.Vanbot-166
Trojan.Mybot-11222
Trojan.Agent-11146
Trojan.Small-4287
Trojan.SdBot-4763
Worm.Padobot.M
Worm.Padobot-13
Worm.Korgo.P
Worm.Dabber.B
Worm.Kolab-366
W32.Virut-9
W32.Virut-11
W32.Virut-54

可惜，還是有一些沒被一些比較有名掃毒器掃出來：

MD5  : 4c71b97435a24ffb8fd7fedd1b1790e1
SHA1 : 225476bfa863c5f434f2e485da2ede88f12a53f8
AhnLab-V3    5.0.0.2/20090725    found nothing
AntiVir    7.9.0.228/20090724    found nothing
Antiy-AVL    2.0.3.7/20090724    found nothing
CAT-QuickHeal    10.00/20090725    found nothing
ClamAV    0.94.1/20090725    found nothing
Comodo    1763/20090725    found nothing
eTrust-Vet    31.6.6640/20090725    found nothing
F-Secure    8.0.14470.0/20090724    found nothing
K7AntiVirus    7.10.802/20090725    found nothing
Kaspersky    7.0.0.125/20090725    found nothing
McAfee    5688/20090725    found nothing
McAfee+Artemis    5688/20090725    found nothing
NOD32    4277/20090725    found nothing
Norman    6.01.09/20090724    found nothing
nProtect    2009.1.8.0/20090725    found nothing
PCTools    4.4.2.0/20090725    found nothing
Prevx    3.0/20090725    found nothing
Rising    21.39.52.00/20090725    found nothing
Sophos    4.44.0/20090725    found nothing
TheHacker    6.3.4.3.373/20090724    found nothing
TrendMicro    8.950.0.1094/20090725    found nothing
VBA32    3.12.10.9/20090724    found nothing
ViRobot    2009.7.25.1853/20090725    found nothing

雖則不一定掃到，但防毒還是有它的作用的。

5. 文章總結

在25日內，這部和像你們家用電腦一共受到來自 115 個地方的 11981 攻擊 ，當中包括有 193 個執行檔，並有 53 種類型 來至 14 個病毒大家庭。希望這能令你對 “誰會理我” 有另類看法，而且 “誰在入侵我的系統” 是一條很有意義的問題。

作者

“Log0″ 是一位電腦安全研究人員，我是針對蜜罐、網頁安全及網絡犯罪這方面的研究，並在 http://onhacks.org 裡以 log0 的筆名撰寫關於電腦安全的文章。

===

參考 :

Nepenthes – http://nepenthes.carnivore.it/
Niels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection”