導語：近日，騰訊雲釋出2018上半年安全專題系列研究報告，該系列報告圍繞雲上使用者最常遭遇的安全威脅展開，用資料統計揭露攻擊現狀，通過溯源還原攻擊者手法，讓企業使用者與其他使用者在應對攻擊時有跡可循，併為其提供可靠的安全指南。上篇報告從 DDoS 攻擊的角度揭示了雲上攻擊最新趨勢，本篇由同一技術團隊雲鼎實驗室分享：「SSH 暴力破解趨勢：從雲平臺向物聯網裝置遷移 」， 以下簡稱《報告》。

一、基本概念

SSH 暴力破解是什麼？

SSH 暴力破解是一種對遠端登入裝置（比如雲伺服器）的暴力攻擊，該攻擊會使用各種使用者名稱、密碼嘗試登入裝置，一旦成功登入，便可獲得裝置許可權。本篇報告內容雲鼎實驗室從攻擊現狀、捕獲樣本、安全建議等方面展開。

近些年，新出現了眾多入侵系統的手法，比如 Apache Struts2 漏洞利用、Hadoop Yarn REST API未授權漏洞利用，但是古老的 SSH 暴力破解攻擊手段不僅沒有消亡，反而愈演愈烈。雲鼎實驗室在本篇《報告》中，對 SSH 暴力破解攻擊從攻擊者使用的攻擊字典、攻擊目標、攻擊源地域分佈、惡意檔案等維度，以及捕獲的攻擊案例進行趨勢分析。由於虛擬貨幣的興起，攻擊者不再僅僅利用通過 SSH 暴力破解控制的裝置來進行 DDoS 攻擊，還用來挖礦，牟取利益。

為什麼 SSH 暴力破解攻擊手段愈演愈烈？

主要原因：

1）SSH 暴力破解工具已十分成熟，比如 Medusa、 Hydra 等，且下載渠道眾多；

2）SSH 暴力破解已經成為惡意程式（如 Gafgyt[1]、 GoScanSSH[2][3] 等）自動傳播的主要方式之一。

大部分自動化 SSH 暴力破解攻擊並不檢測裝置型別，只要發現開放的 SSH 服務就會進行攻擊。由於這種無差別自動化攻擊，開放 SSH 服務的 Linux 伺服器（包括傳統伺服器、雲伺服器等）、物聯網裝置等自然就成為主要攻擊目標。

二、攻擊現狀分析

1. 攻擊者所使用的 SSH 暴力破解攻擊字典分析

雲鼎實驗室針對近期統計的 SSH 暴力破解登入資料分析發現：

1）接近99%的 SSH 暴力破解攻擊是針對 admin 和 root 使用者名稱；

2）攻擊最常用弱密碼前三名分別是 admin、 password、 root， 佔攻擊次數的98.70%；

3）約85%的 SSH 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組使用者名稱密碼組合。

表1 攻擊者所使用的 SSH 暴力破解攻擊字典 Top 20

2. SSH 暴力破解攻擊目標分析

雲鼎實驗室通過分析資料發現， SSH 暴力破解攻擊目標主要分為 Linux 伺服器（包括傳統伺服器、雲伺服器等）與物聯網裝置。

Linux 伺服器（包括傳統伺服器、雲伺服器等）

1）大部分攻擊都是針對 Linux 伺服器預設管理賬號 root，攻擊者主要使用 admin、 root、 123456等常見弱密碼進行暴力破解；

2）少部分攻擊是針對 tomcat、 postgres、 hadoop、 mysql、 apache、 ftpuser、 vnc 等 Linux 伺服器上常見應用程式使用的使用者名稱。攻擊者不僅使用常見通用弱密碼，還會將使用者名稱當作密碼進行攻擊。

3）另外，還發現針對 CSGO 遊戲服務端（目前該服務端程式只能在 Linux 系統上安裝）[4]的預設使用者名稱 csgoserver 的攻擊。攻擊者同樣也是使用常見弱密碼進行暴力破解。

物聯網裝置

根據攻擊者所使用的 SSH 暴力破解攻擊字典分析結果，大量 SSH 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組使用者名稱密碼組合，而這兩組使用者名稱密碼組合，正是路由器最常用的預設使用者名稱密碼組合[5][6]。由此可知，使用上述預設配置的路由器裝置已成為攻擊的主要目標。

除此之外，還發現針對特定物聯網裝置（比如攝像頭、路由器、防火牆、樹莓派等）的 SSH 暴力破解攻擊。這些攻擊使用了表2所示的使用者名稱密碼組合。

表2 特定物聯網裝置的使用者名稱密碼組合

3. SSH 暴力破解攻擊次數地域分佈情況

雲鼎實驗室最近統計到來自160多個國家的攻擊，其中來自荷蘭的攻擊最多，佔總攻擊次數的76.42%；接著是來自保加利亞的攻擊，佔10.55%；排第三的是中國，佔3.89%。由於歐洲部分國家，比如荷蘭、保加利亞，VPS 監管寬鬆[7]，攻擊者可以很方便地租用到 VPS 進行大量攻擊。

來自國內的攻擊中，接近60%的攻擊來自於網際網路產業發達的廣東、北京、上海。

4. 發起 SSH 暴力破解攻擊的源 IP 地域分佈情況

根據攻擊源 IP 數量統計，中國的攻擊源 IP 最多，佔26.70%，巴西、越南、美國不相上下。

國內的攻擊源 IP 分佈廣泛，全國各地都有，且地域分佈較為平均，沒有出現攻擊源 IP 數量特別多的省市，這是因為攻擊者為了隱藏自己真實位置，躲避追蹤，使用了不同地區的 IP 進行攻擊。

5. 植入惡意檔案所使用的命令分析

分析發現，攻擊者最愛搭建 HTTP 伺服器來用於惡意檔案的植入，因此自動化暴力破解攻擊成功後，常使用 wget / curl 來植入惡意檔案。不過，相比 curl 命令，Linux 的命令 wget，適用範圍更廣，因此攻擊者會首選 wget 命令來植入惡意檔案。

而少部分攻擊者還會在 HTTP 伺服器上，同時執行 TFTP 和 FTP 服務，並在植入惡意檔案時，執行多個不同的植入命令。這樣即使在 HTTP 服務不可用的情況下，仍可以通過 TFTP 或 FTP 植入惡意檔案。

6. 惡意檔案伺服器地域分佈情況

由於採集的大部分節點在國內，因此統計到67%的惡意檔案伺服器部署在國內，且沒有完全集中在網際網路產業發達的地區，廣東、上海佔比就比較少。這是因為這些地區對伺服器監管嚴格，因此攻擊者選用其他地區的伺服器存放惡意檔案。

7. 植入的惡意檔案分析

對攻擊後直接植入的惡意檔案進行檔案型別識別，超過50%的檔案是 ELF 可執行檔案；在這些 ELF 檔案當中，x86 CPU 架構的檔案最多，有63.33%；除x86和x64 CPU 架構的 ELF 檔案以外，還有適用於 ARM 和 MIPS CPU 架構的 ELF 檔案。而其餘惡意檔案的檔案型別有 Shell 指令碼、Perl、 Python 等（詳情見下圖）。因為 SSH 暴力破解是針對 Linux 系統的攻擊，因此攻擊成功後多數都是植入 ELF 可執行檔案。

 

植入的惡意檔案中反病毒引擎檢測到病毒佔比43.05%，病毒檔案中屬 DDoS 型別的惡意檔案最多，接近70%，包括 Ganiw、 Dofloo、 Mirai、 Xarcen、 PNScan、 LuaBot、 Ddostf 等家族。另外，僅從這批惡意檔案中，就發現了比特幣等挖礦程式佔5.21%，如下圖所示：

三、案例分析

1. SSH 暴力破解攻擊案例整體流程

雲鼎實驗室於2018年06月10日7點12分發現的一次 SSH 暴力破解攻擊，攻擊者攻擊成功後進行了以下操作：

2. 惡意樣本1分析[11][12]——「DDoS 家族 Ddostf 的殭屍程式」

攻擊者植入的第一個惡意樣本是 DDoS 家族 Ddostf 的殭屍程式。簡要的樣本資訊如下：

1）樣本對應URL：http://210.*.*.165:22/nice

2）樣本的MD5值：0dc02ed587676c5c1ca3e438bff4fb46

3）檔案型別： ELF 32-bit LSB executable,  Intel 80386,  version 1 (GNU/Linux),  statically linked,  for GNU/Linux 2.6.32,  not stripped

4）C&C地址：112.*.*.191:88

5）該樣本共有6個功能函式，詳情如下表3：

表3 惡意樣本1 的功能函式

6）該樣本具有7種 DDoS 攻擊型別，13個 DDoS 攻擊函式，詳情如下表：

表4 惡意樣本1 的 DDoS 攻擊型別

3. 惡意樣本2分析——「一路賺錢」挖礦惡意程式

攻擊者植入的第二個惡意樣本是挖礦相關的。由於虛擬貨幣的興起，攻擊者開始利用被控制的裝置進行挖礦來牟取利益。簡要的樣本資訊如下：

植入的惡意樣本是「一路賺錢」的64位 Linux 挖礦惡意程式部署指令碼，指令碼執行後會植入「一路賺錢」 64位 Linux 版本的挖礦惡意程式壓縮包，並解壓到 /opt 目錄下，然後執行主程式 mservice，註冊為 Linux 系統服務，服務名為 YiluzhuanqianSer。該資料夾中有三個可執行檔案 mservice / xige / xig，均被反病毒引擎檢測出是挖礦類的惡意樣本。根據配置檔案可知， mservice 負責賬號登入/裝置註冊/上報實時資訊，而xige 和 xig負責挖礦， xige 挖以太幣 ETH，xig 挖門羅幣 XMR。

1）樣本的MD5值：6ad599a79d712fbb2afb52f68b2d7935

2）病毒名：Win32.Trojan-downloader.Miner.Wskj

3）「一路賺錢」的64位 Linux 版本挖礦惡意程式資料夾內容如下：

表5 「一路賺錢」的64位 Linux 版本挖礦惡意程式資料夾內容

4）挖礦使用的礦池地址：

    xcn1.yiluzhuanqian.com:80

    ecn1.yiluzhuanqian.com:38008

4. 事件小結

由攻擊者通過 SSH 暴力破解可對攻擊目標植入 Ddostf 殭屍程式和「一路賺錢」挖礦惡意程式可知，攻擊者不僅利用殭屍程式發動 DDoS 牟取利益，同時在裝置空閒時還可進行挖礦，達到裝置資源的最大利用。另外，隨著「一路賺錢」這種小白挖礦程式的興起，降低了挖礦的技術難度，未來可能會出現更多類似事件。

四、總結與建議

1. 整體現狀：

1）由於物聯網的蓬勃發展，裝置數量暴增，因此物聯網裝置漸漸成為主要的攻擊目標。

2）過去攻擊者使用大量的弱密碼進行攻擊，而現在則使用少量的預設密碼，對特定裝置進行攻擊。

3）過去更多是攻擊者利用自動化 SSH 暴力破解工具發動攻擊，植入殭屍程式，組建自己的殭屍網路。而現在殭屍程式可以自己發動攻擊，自動傳播感染新的裝置，逐步壯大殭屍網路。

4）過去攻擊者更多是利用已控制的伺服器進行攻擊，而現在攻擊者會租用國外監管寬鬆的 VPS 進行大量的攻擊。

5）攻擊成功後的植入的惡意樣本還是以 DDoS 家族為主，並開始出現挖礦程式[13]。

2. 未來趨勢：

1）隨著聯網裝置的不斷增多[14]，SSH 暴力破解攻擊會越來越多；

2）攻擊者繼續租用廉價國外 VPS，躲避監管，進行大規模的攻擊；

3）日益增多的雲服務依舊會被攻擊者鎖定，但攻擊的整體趨勢將從雲平臺向物聯網裝置遷移，物聯網裝置將成為最主要攻擊目標。

3. 安全建議：

1）技術型使用者，可根據下列建議提高 SSH 服務的安全性：

a. SSH 服務僅開放金鑰驗證方式，禁止 root 使用者登入，修改預設埠。

b. 修改預設密碼，新密碼最少8位，且包含大小寫字母、數字、特殊字元。並檢查是否使用了文中提到的弱密碼。若使用了弱密碼，也需要修改密碼，加強安全性。

c. 使用者需要對自己的裝置進行定期自查，檢查是否有可疑程式執行，並清理可疑程式。

執行 service YiluzhuanqianSer status 命令，檢查是否存在「一路賺錢」挖礦惡意程式。（僅適用於 Linux 系統）

查詢 Linux 系統中是否存在以 mservice、 xige、 xig 命名的可執行檔案。

2）普通使用者可選擇騰訊云云鏡專業版提高雲伺服器的整體安全性。

騰訊云云鏡基於騰訊安全積累的海量威脅資料，利用機器學習為使用者提供黑客入侵檢測和漏洞風險預警等安全防護服務，主要包括密碼破解攔截、異常登入提醒、木馬檔案查殺、高危漏洞檢測等安全功能，解決當前伺服器面臨的主要網路安全風險，幫助企業構建伺服器安全防護體系，防止資料洩露，為企業有效預防安全威脅，減少因安全事件所造成的損失。

第一篇專題報告閱讀連結：

https://bbs.pediy.com/thread-228464.htm

參考連結：

[1]  http://www.freebuf.com/articles/wireless/160664.html

[2]  https://threatpost.com/goscanssh-malware-targets-ssh-servers-but-avoids-military-and-gov-systems/130812/

[3]  https://blog.talosintelligence.com/2018/03/goscanssh-analysis.html

[4]  http://www.csteams.net/Servers/

[5]  https://portforward.com/router-password/tp-link.htm

[6]  https://www.lifewire.com/netgear-default-password-list-2619154

[7]  https://www.lehaigou.com/2017/1219209295.shtml

[8]  https://www.leiphone.com/news/201801/GLmAX9VzPhN17cpr.html

[9]  http://www.freebuf.com/articles/paper/162404.html

[10] https://coinidol.com/ionchain-future-of-iot-mining-tool-for-all-things/

[11] http://blog.malwaremustdie.org/2016/01/mmd-0048-2016-ddostf-new-elf-windows.html

[12] https://larry.ngrep.me/2018/01/17/malwaremustdie-ddostf-analysis/

[13] http://www.freebuf.com/articles/network/161986.html

[14] http://www.freebuf.com/articles/terminal/128148.html

雲鼎實驗室主要關注騰訊雲安全體系建設，專注於雲上網路環境的攻防研究和安全運營，以及基於機器學習等前沿技術理念打造雲安全產品。

[推薦]看雪企服平臺，提供安全分析、定製專案開發、APP等級保護、滲透測試等安全服務！