Statistiek vir 24 uur na die installering van die heuningpot op die Digital Ocean-knooppunt in Singapoer
Pew Pew! Kom ons begin dadelik met die aanvalskaart
Ons supercool kaart wys die unieke ASN'e wat binne 24 uur aan ons Cowrie-heuningpot gekoppel is. Geel verteenwoordig SSH-verbindings en rooi verteenwoordig Telnet. Sulke animasies beïndruk dikwels die maatskappy se direksie, wat hulle in staat stel om meer befondsing vir sekuriteit en hulpbronne te verkry. Die kaart het egter 'n mate van waarde, wat die geografiese en organisatoriese verspreiding van aanvalsbronne binne net 24 uur op ons gasheer duidelik demonstreer. Die animasie weerspieël nie die volume verkeer vanaf elke bron nie.
Wat is 'n Pew Pew-kaart?
Pew Pew Kaart - Is , gewoonlik geanimeerd en baie mooi. Dit is 'n modieuse manier om jou produk te verkoop, berug daarvoor dat dit deur Norse Corp gebruik word. Die maatskappy het sleg geëindig: dit het geblyk dat pragtige animasies hul enigste voordeel was, en vir ontleding het hulle sketsagtige data gebruik.
Gemaak met Leafletjs
Vir diegene wat 'n aanvalskaart vir die grootskerm in die operasionele sentrum wil ontwikkel (jou baas sal mal wees daaroor), is daar 'n biblioteek . Kombineer dit met die inprop , Maxmind GeoIP-diens — .
WTF: Wat is 'n Cowrie-heuningpot?
'n Heuningpot is 'n stelsel wat spesifiek op 'n netwerk geplaas word om indringers te lok. Verbindings met die stelsel is gewoonlik onwettig en laat jou toe om 'n indringer op te spoor met behulp van gedetailleerde logs. Die logs stoor nie net die gewone verbindingsinligting nie, maar ook sessie-inligting wat onthul tegniek, taktiek en prosedures (TTP) aanvaller.
geskep vir SSH- en Telnet-verbindingsrekords. Hierdie heuningpotte word dikwels aanlyn geplaas om die gereedskap, skrifte en gashere van die aanvallers op te spoor.
My boodskap aan maatskappye wat dink hulle word nie aangeval nie, is "Jy is nie goed met soek nie."
— James Snook
Wat is in die logs?
Totale aantal verbindings
Daar was verskeie verbindingspogings van baie gashere. Dit is normaal, want die aanvallende skrifte het 'n lys van geloofsbriewe en hulle probeer verskeie kombinasies. Honeypot Cowrie is opgestel om sekere gebruikersnaam/wagwoordkombinasies te aanvaar. Dit is gekonfigureer in user.db lêer.
Geografie van aanvalle
Op grond van Maxmind-geografiese liggingdata het ek die aantal verbindings van elke land getel. Brasilië en China lei met 'n wye marge, en daar is dikwels baie geraas van skandeerders van hierdie lande.
Netwerk blok eienaar
'n Ondersoek van netwerkblokeienaars (ASN'e) kan organisasies met 'n groot aantal aanvallende gashere onthul. In sulke gevalle moet u natuurlik altyd onthou dat baie aanvalle van besmette gashere kom. Dit is redelik om te aanvaar dat die meeste indringers nie so dom is om die Net vanaf 'n tuisrekenaar te skandeer nie.
Oop poorte op aanvallende stelsels (Shodan.io-data)
Die uitvoer van die IP-lys deur uitstekend vinnig bepaal stelsels met oop poorte en wat is hierdie hawens. Die figuur hieronder toon die konsentrasie van oop hawens volgens land en organisasie. Dit sou moontlik wees om blokke van gekompromitteerde stelsels te identifiseer, maar binne klein monster daar is niks uitstaande nie, behalwe vir 'n groot aantal 500 oop hawens in China.
'n Interessante bevinding is 'n groot aantal stelsels in Brasilië wat het nie oop nie 22, 23 of ander hawens, volgens Censys en Shodan. Dit is blykbaar verbindings vanaf rekenaars van eindgebruikers.
Bots? Nie nodig nie
Data vir hawens 22 en 23 het daardie dag vreemd gewys. Ek het aangeneem dat die meeste van die skanderings en wagwoordaanvalle van bots af kom. Die skrif versprei oor oop poorte, raai wagwoorde, en kopieer homself vanaf die nuwe stelsel en gaan voort om met dieselfde metode te versprei.
Maar hier kan jy sien dat slegs 'n klein aantal gashere wat telnet skandeer, poort 23 na buite oop het. Dit beteken dat die stelsels óf op 'n ander manier gekompromitteer word, óf die aanvallers skrifte met die hand laat loop.
Huisverbindings
Nog 'n interessante bevinding was die groot aantal tuisgebruikers in die steekproef. Deur die gebruik van omgekeerde opsoek Ek het 105 verbindings vanaf spesifieke tuisrekenaars geïdentifiseer. Vir baie tuisverbindings wys 'n omgekeerde DNS-opsoek die gasheernaam met die woorde dsl, huis, kabel, vesel, ensovoorts.
Leer en verken: Maak jou eie heuningpot groot
Ek het onlangs 'n kort handleiding geskryf oor hoe . Soos genoem, het ons in ons geval Digital Ocean VPS in Singapoer gebruik. Vir 24 uur se ontleding was die koste letterlik 'n paar sent, en die tyd om die stelsel te monteer was 30 minute.
In plaas daarvan om Cowrie op die internet te laat loop en al die geraas op te vang, kan jy baat by 'n heuningpot op jou plaaslike netwerk. Plaas altyd 'n kennisgewing as versoeke na sekere poorte gestuur word. Dit is óf 'n aanvaller binne die netwerk, óf 'n nuuskierige werknemer, óf 'n kwesbaarheidskandering.
Bevindinge
Nadat die optrede van indringers vir 'n dag nagegaan is, word dit duidelik dat dit onmoontlik is om 'n duidelike bron van aanvalle in enige organisasie, land of selfs bedryfstelsel te identifiseer.
Die wye verspreiding van bronne dui aan dat skanderinggeraas konstant is en nie met 'n spesifieke bron geassosieer word nie. Enigiemand wat op die internet werk, moet seker maak dat hul stelsel het verskeie vlakke van sekuriteit. Algemene en effektiewe oplossing vir SSH sal die diens na 'n ewekansige hoë poort skuif. Dit skakel nie die behoefte aan sterk wagwoordbeskerming en -monitering uit nie, maar dit verseker ten minste dat die logs nie verstop word met konstante skandering nie. Hoë poortverbindings is meer geneig om geteikende aanvalle te wees waarin jy dalk belangstel.
Dikwels is oop telnet-poorte op routers of ander toestelle, sodat hulle nie maklik na 'n hoë poort geskuif kan word nie. и is die enigste manier om seker te maak dat hierdie dienste 'n firewall of gedeaktiveer is. Indien moontlik, hoef jy glad nie Telnet te gebruik nie, hierdie protokol is nie geïnkripteer nie. As jy dit nodig het en daarsonder op enige manier, beheer dit dan noukeurig en gebruik sterk wagwoorde.
Bron: will.com