知道创宇暗网流量分析报告(2021年9月28日)

04131aa9c0b9c08474a8186c36f7d8d1.gif

全球网络安全视角下“暗网不暗”

暗网因其超强的匿名性和隐蔽性而成为互联网中的“神秘地带”,一些最危险的网络攻击会利用暗网进行,这里是网络犯罪的天堂,在暗网黑市交易中,包含企业及客户的敏感数据、非法的黑客攻击服务等。想要阻止暗网中的危险活动首先要从“揭秘”开始,只有有能力了解、看到、看清暗网的“隐秘世界”,才有可能实现监控和管理。

知道创宇深耕网络安全十余年,从发布世界领先的网络空间搜索引擎ZoomEye开始,就已经把安全的视角定格在了全球网络空间,暗网自然也不例外。知道创宇通过深入研究暗网技术架构和各种加密协议类型,实现对暗网流量的实时监测,并凭借丰富的网络安全实战经验,及对于网络空间资产的精确定位与描述,对暗网中的流量进行获取、识别与分析,以真正了解暗网,看清暗网,并利用自身技术能力,实现暗网信息搜集与应用,来指导和赋能网络安全产品,捍卫国家安全。

#1 暗网流量获取及分析至关重要

1.1 暗网流量描述

知道创宇已经实现对于暗网的流量监测,此次流量分析是基于2021年9月19日至2021年9月26日时间段内实时出口流量的万分之五的比例进行采样。

我们统计经过暗网出口节点访问明网目标的流量,其中目标IP的地理坐标分布如下图所示,可以看到大部分流量集中在北美和欧洲。

252595190335c24675307b4fc57f6e45.png

1.2 流量时间分布

此次流量分析共基于492.01GB暗网流量,流量根据时间变化明显,其趋势如下:

891452aa70014d387a1645585f67c3b2.png

259035e6a27b28ddef02b67b4ebaf0c9.png

1.3 流量类型分布

网络传输协议类型为:

TCP类型共计2227110条,占比84.82%;

UDP类型共计390727条,占比14.89%;

ICMP类型共计7820条,占比0.3%:

8172511ac440b56da3aecb46fcd6ab05.png

数据类型分布如下:

7a7c6c175bc843a41a7d909145124e30.png

1.4 HTTP流量统计

HTTP状态码分布占比:

ea11a15fb8b2c43ba6c331ad08d8c0d4.png

HTTP Method分布占比:

ac6e44cfff1f36db7d4d54c764be8ccf.png

目标国家Top 10:

0de993a944ebfc7c3aeed230ecf1e7d8.png

目标端口Top10:

55a27187fa50ffcc4a16c34df8d1213b.png

MIME 类型 Top10:

2a1a0b279cf08ac1e1d1c03a9fa97507.png

目标IP Top10:

b44387175f8d27c46ee38c465c14176e.png

Hostname与URL Top15

e35e78b219af593f63d6e12536bc974c.png

Referrer和 UserAgent Top15

47c69f18385a5b3205f4df13e83393b5.png

1.5 DNS流量统计

DNS 流量总数共计586180条。其中A记录占比93.37%:

06f8b74e1537bea70008f48d6c6ff469.png

DNS Queries 和 Answers Top15

063955834a581fa998dcb73e2fcae7ea.png

1.6 SSL流量统计

SSL流量总计1715954条,其中SSL版本占比如下图所示:

cfa21d97e562964ef5a08abd778d021a.png

SSL证书Top20 如下所示,从里到外依次代表ssl.server.name, ssl.server.subject.common_name, ssl.server.issuer.organization:

a9627cd61b4db1cf42f9c9ad0ab92a9f.png

目标地区与目标端口Top20

73a90a1cc1f3f2d62fd9afb762ce8aef.png

目标IP Top10

563d9b97fa43707eef7324110ea1f9c4.png

SSL 服务名称Top15

91463c78d69b30ea93f97abbdd57eaf3.png

#2 暗网中的活跃目标

2.1 暗网中活跃目标分析

通过对流量中的目标,即流量中存在的IP进行深入分析,发现流量中来源IP数量,共计55423个;其中属于tor网络节点的IP地址,为1184个;其余IP地址数量为54239个。

2.2来源IP地址的统计

来源IP地址中能够定位到国家的IP地址共55007个。这些IP地址涉及181个国家和地区,归属于美国的IP地址数量最多,共11098个,占比20.18%。归属于中国的IP地址数量排名第五,共3322个,占比6.04%,其中位于中国台湾的IP地址数量为430个,位于中国香港的IP地址数量为686个,位于中国澳门的IP地址数量为10个,位于中国大陆的IP地址数量为2196个。IP地址归属占比超过1%的国家和地区共17个。

70594c03c202ee9c4bb9adee68ff702b.png

在来源IP地址中,有366个IP地址为重要行业组织机构的IP地址,其行业分布如图。

c452a8fbe7c6ef709a884881dbab0bd4.png

位于中国大陆的来源IP地址中,有64个IP地址为重要行业组织机构的IP地址。

2ce23c2251d012d2e20684569a88c195.png

2.3目的IP地址的统计

目的IP地址共567473个,其中能够定位到国家的IP地址共566023个。这些IP地址涉及220个国家和地区,归属于美国的IP地址数量最多,共198082个,占比35%。归属于中国的IP地址数量排名第三,共42359个,占比7.48%,其中位于中国台湾的IP地址数量为4484个,位于中国香港的IP地址数量为8981个,位于中国澳门的IP地址数量为46个,位于中国大陆的IP地址数量为28848个。IP地址归属占比超过1%的国家和地区共19个。

5a9f9ff7680de5b1e698bd7e51c2155b.png

在目的IP地址中,有10348个IP地址为重要行业组织机构的IP地址。

8d295e6a4377bc33d39e0b1ce360e946.png

位于中国大陆的目的IP地址中,有1215个IP地址为重要行业组织机构的IP地址。

a5c9d76829ea9c314f113fdb81bb273b.png

2.4 攻击流量的目的IP地址的分析统计

此时间段内截获到的网络攻击行为中,遭受攻击的IP地址数量为3个。

c123a0a7d9ccd5d5bcb4e0949f69500e.png

#3 “暗战”无处不在

3.1 CVE-2021-26084漏洞攻击事件分析

创宇NDR流量监测系统分析发现2021年9月24日暗网跳板107.189.**.**对145.239.**.**、85.25.**.**的Atlassian Confluence OGNL注入漏洞攻击行为,具体详情见下表所示:

af3757ddd9cbfc6a9182f9223c77492e.png

NDR告警信息如下:

397f3bfbd3d6f348aae1fde34359d2b4.png

攻击者尝试CVE-2021-26084注入漏洞执行powershell下载shell脚本,攻击流量行为如下:

028405eef15ae4953f174eddb1b6d2f8.png

c7786fcdff6cc7ca73d7edaba79dd00c.png

通过下载34.217.**.**站点的如下脚本:

a558ffc833910cd58543fba2f1eeae9d.png

进一步分析发现该样本为XMrig木马,配置参数和钱包地址如下:

74567278595c185e7f5a0f09fe3b2585.png

549977da94db295d7996a6b34182d3de.png

3.2 路径穿越漏洞攻击事件分析

创宇NDR流量监测系统分析发现2021年9月20日22时通过暗网跳板107.189.**.**对178.177.**.**发起路径穿越漏洞攻击行为,具体详情见下表所示:

a53a5977b71744cd8fd7fe628d3333d7.png

NDR告警信息如下:

7d89852808d5e1467c943fc7c9a4749a.png

攻击流量行为如下:

18ea741f6e2f46f28771915ed2daa0ef.png

3.3 small蠕虫告警分析

创宇NDR流量监测系统分析发现2021年9月20日15时通过暗网跳板107.189.**.**与small木马best-targeted-traffic.com存在通信行为,具体详情见下表所示:

13850eded4e3ec85ac923d07c85a260c.png

NDR取证信息如下:

3da40c334571bec72d399c01adc61cc5.png

3.4 Cenjonsla木马家族告警分析

创宇NDR流量监测系统分析2021年9月25日11时通过暗网跳板107.189.**.**与Cenjonsla木马viewdownloadupdate.info存在通信行为,具体详情见下表所示:

3b3a97c41c08f4f22021506da7203b97.png

NDR取证信息如下:

5a0256de003b742ca71a2ab961575140.png

#4 揭秘是起点,利用反制是未来

基于知道创宇对暗网持续多年的测绘发现,暗网目前仍呈缓慢增长趋势,暗网虽然隐秘,但是绝非“法外之地”,也绝对不是“避罪天堂”。知道创宇相信,我们完全有能力通过技术手段对暗网进行持续的测绘及分析,追踪来自暗网的安全威胁,并将这些信息进行分析利用,集合成自身的安全能力,用以对抗暗网威胁,并协助国家发现、阻断和打击潜藏在暗网中的网络犯罪,共同构建安全的全球网络空间。

90e6d625f131956b8838f58a96159072.gif

dbedeea4a340dcc240384b85341dd17f.gif

  • 4
    点赞
  • 3
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值