Cowrie蜜罐分析報告
一、總體數據分析
本報告彙整自Cowrie蜜罐(Honeypot)系統之監測日誌,總結觀測期間的主要惡意活動。
- 總攻擊量(TotalEvents):2,539,556次
- 不重複攻擊來源IP(UniqueIPs):38,885個
數據分析重點:
本月記錄之總攻擊次數為250萬次。經分析發現,平均每個攻擊來源IP發動了約65次連線嘗試,將近4萬個獨立IP參與攻擊。
二、帳號密碼爆力破解統計
透過統計攻擊者嘗試登入時採用的帳號密碼組合,可歸納出目前的字典攻擊偏好。
前10大常用嘗試密碼:
|
排名 |
嘗試密碼(ssh_password) |
觸發次數(Count) |
|
1 |
123456 |
205,841 |
|
2 |
admin |
66,164 |
|
3 |
password |
48,959 |
|
4 |
12345678 |
43,447 |
|
5 |
user |
39,844 |
|
6 |
123 |
38,714 |
|
7 |
root |
31,352 |
|
8 |
1234 |
30,045 |
|
9 |
P@ssw0rd |
28,244 |
|
10 |
ubuntu |
28,137 |
分析重點:
- 最常見密碼為「123456」,其嘗試次數遠超其他組合,證實攻擊者優先針對最低成本的漏洞進行暴力破解。
- 前十名中出現「P@ssw0rd」,顯示攻擊程式已針對基本的密碼複雜度要求(含大小寫、符號)進行調整。
除了密碼外,統計攻擊者嘗試登入的帳號名稱,可以發現其鎖定的目標不限於一般系統帳號,更延伸至特定的資料庫與開發環境。
前10大攻擊目標帳號:
|
排名 |
目標帳號(ssh_username) |
觸發次數(Count) |
|
1 |
root |
792,042 |
|
2 |
admin |
174,305 |
|
3 |
user |
117,140 |
|
4 |
ubuntu |
101,224 |
|
5 |
test |
80,096 |
|
6 |
postgres |
79,144 |
|
7 |
oracle |
77,710 |
|
8 |
git |
50,394 |
|
9 |
server |
42,446 |
|
10 |
sol |
22,930 |
三、攻擊來源IP軌跡分析
本月觀測到全球多個來源IP的惡意連線,其中以下10個IP位址的活動最為密集:
前10大攻擊來源IP:
|
排名 |
來源IP |
觸發次數 |
地理位置 |
|
1 |
130.12.181.24 |
428,917 |
荷蘭(NL) |
|
2 |
91.215.85.88 |
62,141 |
荷蘭(NL) |
|
3 |
114.246.36.108 |
60,943 |
中國(CN) |
|
4 |
185.124.87.29 |
32,033 |
荷蘭(NL) |
|
5 |
161.35.94.153 |
30,640 |
美國(US) |
|
6 |
188.166.100.181 |
30,417 |
新加坡(SG) |
|
7 |
43.133.186.13 |
27,893 |
美國(US) |
|
8 |
118.142.17.186 |
27,163 |
香港(HK) |
|
9 |
103.96.74.162 |
25,905 |
越南(VN) |
|
10 |
159.223.12.38 |
23,447 |
美國(US) |
分析重點:高風險IP指標(IoC):位居首位的130.12.181.24較多,單一IP貢獻了總量近17%的攻擊。
四、攻擊通訊協定分佈(ProtocolDistribution)
通訊協定使用統計:
|
通訊協定 |
觸發次數(Count) |
佔比(%) |
|
SSH |
2,271,007 |
89.4% |
|
Telnet |
268,549 |
10.6% |
分析重點:近九成的攻擊透過SSH進行。觀測發現,攻擊者頻繁使用root、postgres或oracle等常見服務名稱作為登入帳號。這證實了攻擊者傾向於針對「預設帳號」或「易猜測帳號」進行破解。
五、惡意指令行為分析
當攻擊者成功觸發互動後,通常會立即執行自動化指令。以下為本月排名前5大之惡意指令分析:
|
排名 |
惡意指令(Command) |
觸發次數 |
行為目的推測 |
|
1 |
exportPATH=...$PATH;... |
20,086次 |
環境初始化:重置環境變數,確保後續植入能順利執行。 |
|
2 |
uname-s-v-n-r... |
19,493次 |
系統偵察:收集核心版本,用於篩選適合的Exploit。 |
|
3 |
uname-a... |
4,181次 |
詳細資訊收集:獲取完整系統指紋,判斷目標環境性質。 |
|
4 |
echoSHELL_TEST... |
2,078次 |
連線確認:確認Shell互動是否正常,作為攻擊成功之判斷。 |
|
5 |
uname-s-v-n-r-m... |
1,273次 |
硬體架構確認:識別CPU架構,以投放正確之惡意程式。 |
分析重點:偵察為首要任務:前五名中有四項指令屬於系統資訊收集。顯示攻擊者在取得Shell後,首要動作是進行精準偵察,以利後續的權限提升或橫向移動。
Dionaea蜜罐分析報告
一、惡意樣本捕獲總覽
本月Dionaea蜜罐系統共捕獲多組惡意檔案樣本,透過MD5雜湊值(Hash)比對,可識別出當前網路空間中活動最頻繁的惡意軟體家族。
前5大惡意樣本MD5排名:
|
排名 |
樣本MD5值 |
觸發次數 |
|
1 |
d64dc93e51af87e033063032191fe291 |
268 |
|
2 |
ae12bb54af31227017feffd9598a6f5e |
262 |
|
3 |
78f2c2f9cc13e2855c3e8e734fc99da8 |
139 |
|
4 |
414a3594e4a822cfb97a4326e185f620 |
133 |
|
5 |
996c2b2ca30180129c69352a3a3515e4 |
124 |
二、惡意樣本(ae12bb54af31227017feffd9598a6f5e)分析
1、樣本基本資訊
- 檔案格式:Win32DLL
- 資安廠商標記:根據VirusTotal交叉比對,72家資安廠商中有68家(94%)標記為惡意。
- 威脅分類:多數廠商將其標記為Ransomware/WannaCry。
2、攻擊行為與動態分析
- 侵入途徑:所有攻擊行為均透過SMB協定(TCP445)觸發。
- 流量統計與來源分析:觸發次數262次,不重複IP數量54個。
防護建議
一、SSH
1、威脅觀測:監測期間記錄到超過250萬次爆破嘗試,其中以root、admin等預設帳號為主要標的,且常見弱密碼(如123456)之觸發次數極高。
2、防護策略:
- 帳號去標籤化:避免使用系統預設帳號名稱。
- 強化驗證機制:避免使用過於簡單易猜測之密碼。
- 存取來源限制:嚴格實施IP白名單制度,僅允許指定之固定IP進行遠端連線,大幅縮減攻擊面。
二、SMB
1、威脅觀測:偵測到大量SMB漏洞之連線,攻擊來源呈現分散特徵,顯示受感染節點分布廣泛。
2、防護策略:
- 外部存取隔離:防火牆加入TCP445埠口,禁止與外網連線。
- 安全通訊架構:若具備遠端存取需求,建議透過VPN進行連線以免服務直接暴露於外部網路。
- 修補管理:落實系統更新,修補已知協定漏洞以阻斷勒索軟體之橫向移動路徑。
資料來源:
本文統計來自TWNIC自建蜜罐環境(Cowrie、Dionaea)於2025/12/16-2026/1/15期間觀測到的外部互動事件與惡意樣本,彙整服務類型、來源落點、登入嘗試與惡意程式行為輪廓,著重呈現活動型態與趨勢。資料反映的是本觀測點在網際網路上可見的行為;來源位址可能為代理、雲端或已遭入侵主機,因此不宜據以推定實際行為者之真實身分或國別。