什么是“慣犯”?

所謂“慣犯”，即歷史上被監(jiān)測到產(chǎn)生過多次惡意行為的攻擊源。

??

[[261785]]

2018年，綠盟科技全年所監(jiān)控到的攻擊源“慣犯”占比為17%，“慣犯”告警數(shù)量占比為35%?！皯T犯”的數(shù)量及威脅程度均不容小覷。

中國、美國是受害最為嚴(yán)重的國家，在中國，“慣犯”的地域分布主要集中在沿海經(jīng)濟(jì)發(fā)達(dá)省市。

《綠盟科技2018網(wǎng)絡(luò)安全觀察報告》指出，39.36%的“慣犯”曾被僵尸網(wǎng)絡(luò)所控制;27.13% 的“慣犯”參與過DDoS 攻擊，僅這兩種異常行為就占據(jù)整體比例的66.49%。網(wǎng)絡(luò)中有相當(dāng)一批的僵尸主機(jī)在持續(xù)且頻繁的進(jìn)行著漏洞掃描與利用行為。

明確“慣犯”作案的動機(jī)、目標(biāo)和手段，才能更好地改善網(wǎng)絡(luò)安全問題?；趯@些“慣犯”的長期跟蹤，綠盟科技從其攻擊特點(diǎn)的攻擊系統(tǒng)、攻擊服務(wù)、攻擊方法、攻擊類型四個方面進(jìn)行畫像：

“慣犯”的畫像

• Windows系統(tǒng)飽受“慣犯”青睞

“慣犯”在一次攻擊事件中僅針對Windows發(fā)起的攻擊占比為80.87%，其次為同時針對Windows和Unix兩種操作系統(tǒng)發(fā)起攻擊，占比為13.04%。 由此可見，Windows與其他操作系統(tǒng)相比飽受慣犯青睞，承擔(dān)了絕大多數(shù)的攻擊。原因在于Windows系統(tǒng)個人電腦多，整體基數(shù)大，且可利用的安全漏洞多，容易入侵。

• CGI和SNMP攻擊服務(wù)占比超過一半

所有的攻擊類型中僅CGI和SNMP兩項(xiàng)就占整體比例的一半以上。CGI是網(wǎng)頁表單和程序之間通信的一種協(xié)議，本身并不負(fù)責(zé)通信，而是將輸入數(shù)據(jù)轉(zhuǎn)化成一種固定格式輸出，方便任何符合CGI協(xié)議的程序調(diào)用。SNMP是簡單網(wǎng)絡(luò)管理協(xié)議，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的規(guī)范化管理，共有三個版本，其中2c版本黑客利用最多。

• 畸形攻擊是“慣犯”首選的攻擊方法

畸形攻擊占所有攻擊比例的54.24%，畸形攻擊作為網(wǎng)絡(luò)攻擊的一種，主要通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的報文，使得目標(biāo)系統(tǒng)在處理這樣的報文時耗時很大甚至出錯、崩潰，給目標(biāo)機(jī)器構(gòu)成威脅、帶來很大的損失。暴力猜解采用枚舉法逐一嘗試，雖然簡單粗暴，看起來效率不高，但對于弱口令問題往往很容易構(gòu)建字典，猜解成功。此外，木馬攻擊、溢出攻擊、掃描探測也是“慣犯”常用手法。

• “獲取權(quán)限類”攻擊類型最多

信息收集主要包括收集目標(biāo)的操作系統(tǒng)類型及版本，目標(biāo)所提供的服務(wù)，各服務(wù)器程序的類型與版本以及相關(guān)的社會信息;獲取權(quán)限一般發(fā)生在黑客信息收集活動之后，利用收集到的信息，找到相關(guān)的漏洞，選擇相應(yīng)的攻擊方式并實(shí)施攻擊行為;在獲取權(quán)限后，黑客可以實(shí)現(xiàn)諸如挖礦病毒惡意文件下載等各類破壞行為。

在2018年，在綠盟科技持續(xù)監(jiān)控的攻擊源中，“慣犯”占比為17%，“慣犯”告警數(shù)量占比為35%。對這些“慣犯”的針對性跟蹤、分析、畫像、對抗等可以有效地提高安全防護(hù)的效率和效果，相應(yīng)地，這些威脅統(tǒng)計(jì)信息可以作為安全行為分析的重要輸入，建立更智能的安全檢測體系。