Statistiek vir 24 uur na die installering van die heuningpot op die Digital Ocean-knooppunt in Singapoer
Pew Pew! Kom ons begin dadelik met die aanvalskaart
Ons supercool kaart wys die unieke ASN'e wat binne 24 uur aan ons Cowrie-heuningpot gekoppel is. Geel verteenwoordig SSH-verbindings en rooi verteenwoordig Telnet. Sulke animasies beïndruk dikwels die maatskappy se direksie, wat hulle in staat stel om meer befondsing vir sekuriteit en hulpbronne te verkry. Die kaart het egter 'n mate van waarde, wat die geografiese en organisatoriese verspreiding van aanvalsbronne binne net 24 uur op ons gasheer duidelik demonstreer. Die animasie weerspieël nie die volume verkeer vanaf elke bron nie.
Wat is 'n Pew Pew-kaart?
Pew Pew Kaart - Is
Gemaak met Leafletjs
Vir diegene wat 'n aanvalskaart vir die grootskerm in die operasionele sentrum wil ontwikkel (jou baas sal mal wees daaroor), is daar 'n biblioteek
WTF: Wat is 'n Cowrie-heuningpot?
'n Heuningpot is 'n stelsel wat spesifiek op 'n netwerk geplaas word om indringers te lok. Verbindings met die stelsel is gewoonlik onwettig en laat jou toe om 'n indringer op te spoor met behulp van gedetailleerde logs. Die logs stoor nie net die gewone verbindingsinligting nie, maar ook sessie-inligting wat onthul tegniek, taktiek en prosedures (TTP) aanvaller.
My boodskap aan maatskappye wat dink hulle word nie aangeval nie, is "Jy is nie goed met soek nie."
— James Snook
Wat is in die logs?
Totale aantal verbindings
Daar was verskeie verbindingspogings van baie gashere. Dit is normaal, want die aanvallende skrifte het 'n lys van geloofsbriewe en hulle probeer verskeie kombinasies. Honeypot Cowrie is opgestel om sekere gebruikersnaam/wagwoordkombinasies te aanvaar. Dit is gekonfigureer in user.db lêer.
Geografie van aanvalle
Op grond van Maxmind-geografiese liggingdata het ek die aantal verbindings van elke land getel. Brasilië en China lei met 'n wye marge, en daar is dikwels baie geraas van skandeerders van hierdie lande.
Netwerk blok eienaar
'n Ondersoek van netwerkblokeienaars (ASN'e) kan organisasies met 'n groot aantal aanvallende gashere onthul. In sulke gevalle moet u natuurlik altyd onthou dat baie aanvalle van besmette gashere kom. Dit is redelik om te aanvaar dat die meeste indringers nie so dom is om die Net vanaf 'n tuisrekenaar te skandeer nie.
Oop poorte op aanvallende stelsels (Shodan.io-data)
Die uitvoer van die IP-lys deur uitstekend
'n Interessante bevinding is 'n groot aantal stelsels in Brasilië wat het nie oop nie 22, 23 of ander hawens, volgens Censys en Shodan. Dit is blykbaar verbindings vanaf rekenaars van eindgebruikers.
Bots? Nie nodig nie
Data
Maar hier kan jy sien dat slegs 'n klein aantal gashere wat telnet skandeer, poort 23 na buite oop het. Dit beteken dat die stelsels óf op 'n ander manier gekompromitteer word, óf die aanvallers skrifte met die hand laat loop.
Huisverbindings
Nog 'n interessante bevinding was die groot aantal tuisgebruikers in die steekproef. Deur die gebruik van omgekeerde opsoek Ek het 105 verbindings vanaf spesifieke tuisrekenaars geïdentifiseer. Vir baie tuisverbindings wys 'n omgekeerde DNS-opsoek die gasheernaam met die woorde dsl, huis, kabel, vesel, ensovoorts.
Leer en verken: Maak jou eie heuningpot groot
Ek het onlangs 'n kort handleiding geskryf oor hoe
In plaas daarvan om Cowrie op die internet te laat loop en al die geraas op te vang, kan jy baat by 'n heuningpot op jou plaaslike netwerk. Plaas altyd 'n kennisgewing as versoeke na sekere poorte gestuur word. Dit is óf 'n aanvaller binne die netwerk, óf 'n nuuskierige werknemer, óf 'n kwesbaarheidskandering.
Bevindinge
Nadat die optrede van indringers vir 'n dag nagegaan is, word dit duidelik dat dit onmoontlik is om 'n duidelike bron van aanvalle in enige organisasie, land of selfs bedryfstelsel te identifiseer.
Die wye verspreiding van bronne dui aan dat skanderinggeraas konstant is en nie met 'n spesifieke bron geassosieer word nie. Enigiemand wat op die internet werk, moet seker maak dat hul stelsel het verskeie vlakke van sekuriteit. Algemene en effektiewe oplossing vir SSH sal die diens na 'n ewekansige hoë poort skuif. Dit skakel nie die behoefte aan sterk wagwoordbeskerming en -monitering uit nie, maar dit verseker ten minste dat die logs nie verstop word met konstante skandering nie. Hoë poortverbindings is meer geneig om geteikende aanvalle te wees waarin jy dalk belangstel.
Dikwels is oop telnet-poorte op routers of ander toestelle, sodat hulle nie maklik na 'n hoë poort geskuif kan word nie.
Bron: will.com