一、
觀測概況
本期(2025/11/28 –
2025/12/15)跨越 11 月底至 12 月中旬,平台整體活躍度極高,總計攔截約 41 萬筆連線事件(Cowrie 15.6 萬 + Dionaea 26 萬)。
二、 Cowrie 觀測結果(SSH/Telnet
暴力登入),本期 SSH 攻擊佔據絕對主導地位。
2.1 服務類型佔比
- SSH
(22):148,759 筆 (95.0%)
- Telnet
(23):7,891 筆 (5.0%)
2.2 來源國家 Top 5
- 德國 (DE):53,777 筆
- 荷蘭 (NL):31,264 筆
- 巴西 (BR):13,809 筆
- 美國 (US):12,451 筆
- 中國 (CN):7,218 筆
2.3 常見登入嘗試
- 帳號 (Top 5):root、(空帳號)、ubuntu、admin、user
- 密碼 (Top 5):(空密碼)、123456、admin、123、password
三、 Dionaea 觀測結果(漏洞掃描與連線),Dionaea 於 11/28 – 12/15 期間共記錄 260,487 筆連線。
3.1 服務與連線類型 (Top 5 Ports)
- 445
(SMB):235,010 筆 (90.2%)
- 1433
(MSSQL):10,370 筆 (4.0%)
- 135
(MS-RPC):7,128 筆 (2.7%)
- 3306
(MySQL):2,432 筆 (0.9%)
- 81
(HTTP):1,352 筆 (0.5%)
3.2 來源國家分布 (Top 5 Countries)
- 法國 (France)
- 玻利維亞 (Bolivia)
- 印尼 (Indonesia)
- 中國 (China)
- 關島 (Guam)
四、
惡意程式進階分析 (Malware Analysis)
本期捕獲之主要惡意程式 Hash 及其下載次數統計如下:(僅列出下載次數超過5次之Hash值)
|
Hash值(MD5) |
下載次數 |
|
d64dc93e51af87e033063032191fe291 |
184 |
|
beb68e9c7ef18f421df8230c032fe02a |
19 |
|
70ccd9220cebb56eaa38b9f1bd1a1cd8 |
17 |
|
685bc2af410d86a742b59b96d116a7d9 |
13 |
|
feaa2ebb565f21f7214289788222ca39 |
7 |
|
ae12bb54af31227017feffd9598a6f5e |
5 |
因本期 d64dc93e51af87e033063032191fe291 下載次數顯著較多,我們針對此樣本進行深度說明。
4.1 樣本基本資訊
- 檔案格式:Win32 DLL (Windows 動態連結函式庫)。
- 資安廠商標記:根據 VirusTotal 交叉比對,73 家資安廠商中有 58 家 (80%) 標記為惡意。其中多數標記為下載器 (Downloader)或是木馬程式(Trajon)。
4.2 攻擊來源與地理分布
- 攻擊規模:共記錄 184 次嘗試,由 162 個不重複 IP 發起,分散度極高。
- 地理熱區:主要源自
印尼 (ID, 47.5%),其次為印度 (IN) 。
- 戰術特徵:平均每個 IP 僅嘗試 1.1 次攻擊,屬「多點、低頻」策略,旨在繞過防火牆頻率限制偵測。
4.3 攻擊行為與動態分析
- 侵入途徑:均透過 SMB 協定 (TCP 445) 觸發。
- 攻擊活動與人類作息高度同步(09:00 - 19:00),並於 中午 12:00 達到巔峰。
五、
總結與建議
- 封鎖惡意 Hash:建議將 d64dc93e... 及其餘高頻 Hash 匯入黑名單。
- 加強 SMB 防護:鑑於 SMB (445) 佔據絕大多數攻擊量且被用於植入木馬。應落實防火牆規則,嚴禁網際網路直接存取內網 445 埠,以杜絕外部掃描。
- 加強帳號與密碼安全 :Cowrie 觀測顯示「空密碼」與「123456」仍是入侵主因,應強制執行複雜密碼策略。
六、資料來源
1. 本文統計來自 TWNIC 自建 蜜罐環境(Cowrie、Dionaea)於 2025/11/28-2025/12/15 期間觀測到的外部互動事件與惡意樣本,彙整服務類型、來源落點、登入嘗試與惡意程式行為輪廓,著重呈現活動型態與趨勢。資料反映的是本觀測點在網際網路上可見的行為;來源位址可能為代理、雲端或已遭入侵主機,因此不宜據以推定實際行為者之真實身分或國別。