网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

网络扫描是一些网络攻击的前奏，也是一些网络威胁活动的体现，通过捕捉网络扫描行为，可以感知到网络空间的威胁态势，是了解网络空间安全状况的最好途径之一。

根据瑞星全球威胁情报采集网络采集的网络扫描数据，瑞星总结出以下特点：

大量的Telnet扫描来自于服务器、网络设备、IoT设备等运行Linux系统的计算设备，主要原因是目前相当活跃的巨大的僵尸网络，例如Linux.Gafgyt和Linux.Mirai这两大僵尸网络家族。

由于今年NSA武器库泄露，通过445端口利用“永恒之蓝”漏洞，成为入侵Windows系统计算机的最为简单便捷的方法。不久前Linux 上使用的Samba服务也爆出远程执行漏洞(CVE-2017-7494),影响Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本，同样是使用445端口，被称为Linux上的“永恒之蓝”。

Windows系统和Linux系统这两个漏洞的产生直接导致了445端口的疯狂扫描和针对性的攻击事件的暴增。通过该漏洞传播的WannaCry勒索以及后来的Petya，同时借助该漏洞传播的门罗币挖矿机和组建僵尸网络的各种BOT肆虐网络，极大破坏了网络环境。

基于如此高频的445扫描，再次提示务必做好服务器安全工作，安装相应的安全更新，避免成为网络扫描者手到擒来的“猎物”，彻底结束NSA武器库泄露带来的不良影响。

数据显示，从IP的角度看，来自中国的网络扫描更加青睐数据库服务器。其中，对MySQL、MSSQL的扫描次数、源IP个数，都位于全球第一。虽然无法准确判断扫描者在确认数据库服务类型之后的下一步动作，但也不妨碍我们推断出“扫描者”对数据库服务及数据资产的渴望。

根据2017上半年采集的数据显示，全球范围内最为活跃的两大著名的僵尸网络，分别为Linux.Gafgyt/Linux 和 Linux.Mirai。

Linux.Gafgyt最主要的功能是Telnet扫描。在执行Telnet扫描时，木马会尝试连接随机IP地址的23号端口。如果连接成功，木马会根据内置的用户名/密码列表，尝试猜测登录。登录成功后，木马会发出相应命令，下载多个不同架构的BOT可执行文件，并尝试运行。

Linux.Mirai病毒是一种通过互联网搜索并控制物联网设备并发起DDOS攻击的一种病毒，当扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认密码进行登陆，一旦登陆成功，这台物联网设备就进入“肉鸡”名单，黑客操控此设备开始攻击其他网络设备。

构建僵尸网络IOT设备类型分布

勒索软件蠕虫化的结果是恐怖的，2017年的WannaCry就震惊全球。通过蠕虫的传播手段将勒索软件迅速的分发到全球存在漏洞的机器上，造成的破坏将是毁灭性的。以往的传播手段主要是通过垃圾邮件和EK工具网站挂马等，采用被动手段，效果有限。但通过蠕虫化被动为主动，将起到“事半功倍”的效果。“WannaCry”已经验证了效果。不能想象勒索软件和蠕虫在不久的将来将会结合得愈来愈紧密。

2017年1至6月，瑞星“云安全”系统共截获Linux病毒样本总量42万个，远远超过了2013年、2014年和2015年的总和。瑞星早在2014年底发布的《Linux系统安全报告》就已预测，在接下来几年中针对Linux 的病毒将要有个爆发性的增长。这种增长势头可以预见仍将持续很长一段时间。