網路威脅觀測月報｜2026年2月

Cowrie蜜罐分析報告

一、總體數據分析

本報告彙整自Cowrie蜜罐(Honeypot)系統之監測日誌，總結觀測期間的主要惡意活動。

• 總攻擊量(TotalEvents)：4,695,162次
• 不重複攻擊來源IP(UniqueIPs)：36,977個
  

數據分析重點：

本月記錄之總攻擊次數近470萬次。經分析發現，平均每個攻擊來源IP發動了約127次連線嘗試，將近4萬個獨立IP參與攻擊。

二、帳號密碼爆力破解統計

透過統計攻擊者嘗試登入時採用的帳號密碼組合，可歸納出目前的字典攻擊偏好。

前10大常用嘗試密碼：

排名	嘗試密碼(ssh_password)	觸發次數(Count)
1	123456	400,438
2	12345678	116,556
3	admin	110,444
4	P@ssw0rd	98,387
5	Aa123456	83,079
6	123123	82,536
7	password	73,377
8	123	66,540
9	1234	59,199
10	user	54,826

分析重點：

• 最常見密碼仍為「123456」，其次為「12345678」，其嘗試次數遠超其他組合，證實攻擊者優先針對最低成本的漏洞進行暴力破解。
• 前十名中出現「P@ssw0rd」，顯示攻擊程式已針對基本的密碼複雜度要求(含大小寫、符號)進行調整。

除了密碼外，統計攻擊者嘗試登入的帳號名稱，可以發現其鎖定的目標不限於一般系統帳號，更延伸至特定的資料庫與開發環境。

前10大攻擊目標帳號：  

排名	目標帳號(ssh_username)	觸發次數(Count)
1	root	1,156,165
2	admin	379,952
3	user	223,784
4	ubuntu	163,918
5	test	148,070
6	oracle	147,776
7	postgres	115,139
8	administrator	102,109
9	git	62,764
10	dell	59,134

三、攻擊來源IP軌跡分析

本月觀測到全球多個來源IP的惡意連線，其中以下10個IP位址的活動最為密集：

前10大攻擊來源IP：

排名	來源IP	觸發次數	地理位置
1	130.12.181.189	1,287,387	荷蘭 (NL)
2	198.143.191.202	196,718	美國 (US)
3	130.12.181.24	117,596	荷蘭 (NL)
4	91.215.85.88	102,449	荷蘭 (NL)
5	114.246.36.108	60,944	中國 (CN)
6	94.154.35.215	52,784	德國 (DE)
7	91.92.241.148	47,782	德國 (DE)
8	209.38.47.112	39,386	美國 (US)
9	178.16.54.6	39,358	荷蘭 (NL)
10	213.209.159.158	38,965	德國 (DE)

分析重點：高風險IP指標(IoC)：位居首位的130.12.181.189較多，單一IP貢獻了總量近65%的攻擊。

四、攻擊通訊協定分佈(ProtocolDistribution)

通訊協定使用統計：

通訊協定	觸發次數(Count)	佔比(%)
SSH	4,228,005	90.1%
Telnet	467,157	9.9%

 

分析重點：九成的攻擊透過SSH進行。觀測發現，攻擊者頻繁使用root、postgres或oracle、git等常見服務名稱作為登入帳號。這證實了攻擊者傾向於針對「預設帳號」或「易猜測帳號」進行破解。

 

五、惡意指令行為與自動化傳播分析

在分析日誌時，我們觀測到攻擊者在取得權限後，會立即執行自動化的惡意指令。這些指令不僅展現了隱蔽與持久化的企圖，其後綴的參數特徵更揭露了大規模擴散的潛在風險。

指令範例如下：

chmod +x ./.76388578400749/sshd

nohup ./.76388578400749/sshd [多個IP] &

1. 惡意手法分析

• 偽裝技術 (Masquerading)： 攻擊者將惡意二進位檔案命名為 sshd，並存放在以 . 開頭的隱藏資料夾（例如 ./. 76388578.../）中。此手法意在混淆系統管理員，使其在查看程序列表（如 ps 指令）時，誤以為是合法的系統服務進程在運行。
• 背景執行 (Background Execution)：指令結合了 nohup 與末助詞 &。這確保即使當前攻擊者的 Shell 連線中斷，該惡意程序仍能在系統背景持續運行，確保攻擊活動不因連線中斷而停止。

2. 指令參數統計分析

攻擊者在參數中夾帶了大量的 IP 清單以進行掃描。針對這些受害目標 IP 的地理位置進行歸納，統計結果如下：

• 總連線嘗試次數： 在惡意指令參數中，共計出現了 10,506 次 IP 位址記錄，顯示其自動化掃描的強度極高。
• 不重複目標規模： 經去重分析後，受測主機被交辦的攻擊目標涵蓋了 2,027 個不重複的 IP 位址。

攻擊目標地理位置分佈 (Top 10)

根據 IP 歸屬地分析，受影響的目標遍布全球，其中以中國 (CN) 及美國 (US) 為主要目標。

國家	次數	佔比 (%)
中國 (CN)	2,873	27.54%
美國 (US)	1,401	13.43%
新加坡 (SG)	629	6.03%
香港 (HK)	614	5.89%
印度 (IN)	491	4.71%
德國 (DE)	479	4.59%
日本 (JP)	474	4.54%
越南 (VN)	377	3.61%
伊朗 (IR)	356	3.41%
巴西 (BR)	223	2.14%

在本次數據中，針對台灣 IP 的掃描次數為 211 次 (2.02%)。雖然未進入前十名，但仍顯示台灣境內主機亦在對方的掃描名單之列，若相關受害 IP 具備類似漏洞，極可能成為下一波受攻擊的目標。

Dionaea蜜罐分析報告

一、惡意樣本捕獲總覽

本月Dionaea蜜罐系統共捕獲多組惡意檔案樣本，透過MD5雜湊值(Hash)比對，可識別出當前網路空間中活動最頻繁的惡意軟體家族。

前5大惡意樣本MD5排名：

排名	樣本MD5值	觸發次數
1	ae12bb54af31227017feffd9598a6f5e	3,347
2	996c2b2ca30180129c69352a3a3515e4	1,927
3	414a3594e4a822cfb97a4326e185f620	1,639
4	0ab2aeda90221832167e5127332dd702	1,414
5	a55b9addb2447db1882a3ae995a70151	989

 

二、惡意樣本(996c2b2ca30180129c69352a3a3515e4)分析

1、樣本基本資訊

• 檔案格式：Win32DLL
• 資安廠商標記：根據VirusTotal交叉比對，72家資安廠商中有67家(93%)標記為惡意。
• 威脅分類：多數廠商將其標記為Ransomware/WannaCry。

2、攻擊行為與動態分析

• 侵入途徑：所有攻擊行為均透過SMB協定(TCP445)觸發。
• 流量統計與來源分析：觸發次數1,559次，不重複IP數量314個。

防護建議

一、SSH

1、威脅觀測：監測期間記錄到近470萬次暴力破解(Brute Force)嘗試，其中以root、admin等預設帳號為主要標的，且常見弱密碼(如123456/12345678)之觸發次數極高。

2、防護策略：

• 帳號去標籤化：避免使用系統預設帳號名稱。
• 強化驗證機制：避免使用過於簡單易猜測之密碼。
• 存取來源限制：嚴格實施IP白名單制度，僅允許指定之固定IP進行遠端連線，大幅縮減攻擊面。

二、SMB

1、威脅觀測：偵測到大量SMB連線，攻擊來源呈現分散特徵，顯示受感染節點分布廣泛。

2、防護策略：

• 外部存取隔離：防火牆加入TCP445埠口，禁止與外網連線。
• 安全通訊架構：若具備遠端存取需求，建議透過VPN進行連線以免服務直接暴露於外部網路。
• 修補管理：落實系統更新，修補已知協定漏洞以阻斷勒索軟體之橫向移動路徑。

資料來源：

本文統計來自TWNIC自建蜜罐環境(Cowrie、Dionaea)於2026/1/16-2026/2/15期間觀測到的外部互動事件與惡意樣本，彙整服務類型、來源落點、登入嘗試與惡意程式行為輪廓，著重呈現活動型態與趨勢。資料反映的是本觀測點在網際網路上可見的行為；來源位址可能為代理、雲端或已遭入侵主機，因此不宜據以推定實際行為者之真實身分或國別。