0x01 攻击产生原因
暴力破解是常见的网络攻击类型。常常是因为某些服务(如SSH、数据库等)暴露在公网,而业务侧没有做好访问控制造成的。公网中存在大量灰、黑产的扫描器,当扫描器发现暴露于公网的SSH服务时,则会进行暴力破解攻击以尝试获取服务器权限,攻击成功后将会自动化地安装挖矿、DDOS、勒索等恶意软件,并进行横向渗透。
而有些时候是由于业务组的配置错误(如定时自动登录的脚本,但密码填写错误),或是业务组周期性的测试行为。面对不同的场景,我们采取不同的应对方式。
0x02 告警处置
对形如以下的告警:
(外/内网)IP:XXX尝试暴力破解主机IP:YYY的ZZZ服务
若IP来自外网
应该直接通知YYY所在业务侧做好访问控制,减少暴露面。
若IP来自内网
查询源IP=XXX的工单记录,并联系业务侧。
若有曾判为误报的历史工单
询问业务侧该行为是否为配置错误或测试行为,若为配置错误则告知修改,若为测试行为则要求业务出具测试ip列表(源、目的IP都需要)及测试周期,考虑做告警的限时压降。
若无历史工单
则联系业务侧,询问是否为业务行为。若是业务行为,判为误报,并询问业务侧该行为是配置错误或测试行为,若为配置错误则告知修改,若为测试行为则要求业务出具测试ip列表(源、目的IP都需要)及测试周期,虑做告警的限时压降。若不是业务行为,则拉起应急响应。
特别注意
以下行为为恶意暴力破解的典型特征:
- 同一内网IP在同时爆破多个内网目的IP
- 同一内网IP爆破同一IP时使用多个用户名
若出现在内网,则很有可能主机已失陷,正在进行横向移动,因此在联系业务侧的同时考虑拉起应急响应
