![密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势]( "密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势")
©网络研究院
对 Rapid7 的 RDP 和 SSH 蜜罐在 2021 年 9 月 10 日至 2022 年 9 月 9 日期间收集的数据进行分析,发现了数千万次连接尝试。
这些蜜罐在 RDP 和 SSH 蜜罐中捕获了 215,894 个唯一 IP 源地址和 512,002 个唯一密码。
攻击者发现并窃取了 3200 万个明文用户帐户。随后公开的 14,341,564 个密码列表成为原始 rockyou.txt,广泛用于字典攻击,并包含在 Kali Linux 中以帮助渗透测试。
在接下来的几年中,在原始密码列表中添加了额外的密码列表,最终形成了 rockyou2021.txt 集合,现在在一个 92 GB 的文本文件中包含大约 84 亿个密码。
“我们使用 rockyou 集作为攻击者可以轻松生成和尝试的密码来源,以查看除了使用密码列表之外是否还有一些演变,”Rapid7 在其针对坏机器人的良好密码报告 (文末获取) 中解释道。
在这个密码列表中可以找到用于攻击 Rapid7 蜜罐的 99.99% 的密码可能是轻描淡写。在 SSH 攻击中使用的 497,848 个密码中,只有 14 个不包含在 rockyou2021 中——每一个都包含被攻击蜜罐的 IP 地址。Rapid7 建议这可能是攻击者使用的扫描仪中的编程错误。
用于攻击 RDP 蜜罐的密码中只有一个密码不包含在 rockyou2021 中。这是“AuToLoG2019.09.25”,这是第 13 个最常用的密码。这有点令人费解,但报告指出存在包含“AutoLoG”字符串的恶意软件样本。“这些样本被大多数反病毒供应商归类为通用木马,但似乎将 RDP 凭据硬编码到其中,”报告评论道。
除了 SSH“错误”和单个 AutoLog RDP 密码之外,蜜罐攻击中使用的所有其他密码都可以在 rockyou2021 中找到。蜜罐攻击本质上是自动的机会主义机器人攻击。
Rapid7 对所用密码的分析显示出对标准已知常用密码的强烈偏好。前五个 RDP 密码尝试是“”(空字符串)、“123”、“密码”、“123qwe”和“管理员”。前五个 SSH 密码尝试是“123456”、“nproc”、“test”、“qwerty”和“password”。这些和所有其他密码都可能来自 rockyou2021。
但是rockyou2021 实际上只是一个庞大的单词列表。它不包括随机、混合 ASCII 和特殊字符串。虽然它包含大约 84 亿个字符串,但所有可能的 ASCII 七字符字符串的完整列表将包含大约 70 万亿个可能性 (95^7)。随着密码长度的增加,这将急剧上升。
Rapid7 分析得出的最重要结论是,使用长而强的随机字符串(如密码管理器生成的且不太可能包含在“字典”中的字符串)将提供非常强大的防御机会主义机器人驱动的自动化攻击。
Rapid 7 的研究主管 Tod Beardsley 指出,这些自动攻击成本低,但并非没有成本。“对蹩脚密码和默认密码的关注表明,仍然有足够的常用密码使攻击者值得攻击,”他告诉我们。这反过来表明密码管理器还不是生成和存储密码的默认方法。
密码管理器的问题在于它们使用起来并不容易或不一定直观。“用户体验很差,而且它们往往有点笨拙——而且额外的摩擦会阻止人们使用它们,”比尔兹利说。“我们未能教育人们使用密码管理器来生成和存储长而强的随机密码。”
但他补充说,长度比复杂性更重要。“就拥有良好的密码而言,密码长度是游戏的名称。” 他甚至指出,在远程工作的时代,将长期被嘲笑的“密码笔记本”安全地放在家里的想法成为了一个现实的选择。
但这项 Rapid7 研究的主要收获是,如果公司和个人能够调整自己以生成包含一些特殊字符的足够长的密码(Beardsley 使用 14 个字符),那么当前这一代针对 RDP 的自动机会攻击很有可能SSH 将被击败。
这不适用于个别有针对性的攻击。那是一个不同的故事。
![密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势]( "密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势")
![密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势]( "密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势")
https://www.123pan.com/s/HHuKVv-ImMp3提取码:0hdt
原文始发于微信公众号(网络研究院):密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势
评论