ProHoster > بلوق > إدارة > تحليل الهجمات على Honeypot Cowrie

تحليل الهجمات على Honeypot Cowrie

إحصائيات لمدة 24 ساعة بعد تثبيت موضع الجذب على عقدة المحيط الرقمي في سنغافورة

بيو بيو! لنبدأ فورًا بخريطة الهجوم

تُظهر خريطتنا الرائعة للغاية ASNs الفريدة التي تتصل بمصيدة Cowrie الخاصة بنا في غضون 24 ساعة. يمثل اللون الأصفر اتصالات SSH ويمثل اللون الأحمر Telnet. غالبًا ما تثير هذه الرسوم المتحركة إعجاب مجلس إدارة الشركة ، مما يسمح لهم بتأمين المزيد من التمويل للأمن والموارد. ومع ذلك ، فإن الخريطة لها بعض القيمة ، حيث توضح بوضوح الانتشار الجغرافي والتنظيمي لمصادر الهجوم على مضيفنا في غضون 24 ساعة فقط. لا يعكس الرسم المتحرك حجم حركة المرور من كل مصدر.

ما هي بطاقة بيو بيو؟

خريطة بيو بيو - هو تصور الهجمات الإلكترونيةوعادة ما تكون متحركة وجميلة جدا. إنها طريقة عصرية لبيع منتجك ، تشتهر باستخدامها شركة Norse Corp. انتهت الشركة بشكل سيء: اتضح أن الرسوم المتحركة الجميلة كانت ميزتها الوحيدة ، وللتحليل استخدموا بيانات سطحية.

مصنوعة من Leafletjs

بالنسبة لأولئك الذين يرغبون في تطوير خريطة هجومية للشاشة الكبيرة في مركز العمليات (سيحبها رئيسك في العمل) ، هناك مكتبة المنشورات. ادمجه مع البرنامج المساعد طبقة هجرة المنشورات، خدمة Maxmind GeoIP - وانتهى.

تحليل الهجمات على Honeypot Cowrie

WTF: ما هو موقع Cowrie Honeypot؟

موضع الجذب هو نظام يتم وضعه على شبكة خصيصًا لجذب الدخلاء. عادة ما تكون الاتصالات بالنظام غير قانونية وتسمح لك باكتشاف متسلل باستخدام سجلات مفصلة. لا تخزن السجلات معلومات الاتصال المعتادة فحسب ، بل تخزن أيضًا معلومات الجلسة التي تكشف عنها التقنية والتكتيكات والإجراءات (TTP) مهاجم.

Honeypot Cowrie خلقت ل سجلات اتصال SSH و Telnet. غالبًا ما يتم نشر مواضع الجذب هذه عبر الإنترنت لتتبع الأدوات والنصوص ومضيفي المهاجمين.

رسالتي إلى الشركات التي تعتقد أنها لم تتعرض للهجوم هي "أنت لست جيدًا في البحث."
- جيمس سنوك

تحليل الهجمات على Honeypot Cowrie

ماذا يوجد في السجلات؟

إجمالي عدد الاتصالات

كانت هناك محاولات اتصال متعددة من العديد من المضيفين. هذا أمر طبيعي ، لأن البرامج النصية المهاجمة لديها قائمة بأوراق الاعتماد وهي تحاول عدة تركيبات. تم تكوين Honeypot Cowrie لقبول بعض مجموعات اسم المستخدم / كلمة المرور. تم تكوين هذا في ملف user.db.

تحليل الهجمات على Honeypot Cowrie

جغرافية الهجمات

استنادًا إلى بيانات تحديد الموقع الجغرافي Maxmind ، قمت بحساب عدد الاتصالات من كل بلد. تتصدر البرازيل والصين بهامش كبير ، وغالبًا ما يكون هناك الكثير من الضوضاء من أجهزة المسح من هذه البلدان.

تحليل الهجمات على Honeypot Cowrie

مالك كتلة الشبكة

يمكن لفحص مالكي كتلة الشبكة (ASN) الكشف عن المؤسسات التي بها عدد كبير من المضيفين المهاجمين. بالطبع ، في مثل هذه الحالات ، يجب أن تتذكر دائمًا أن العديد من الهجمات تأتي من مضيفين مصابين. من المعقول أن نفترض أن معظم المتسللين ليسوا أغبياء بحيث يقومون بمسح الشبكة من جهاز كمبيوتر منزلي.

تحليل الهجمات على Honeypot Cowrie

فتح المنافذ على أنظمة الهجوم (بيانات Shodan.io)

تشغيل قائمة IP من خلال ممتاز شودان API يقرر بسرعة أنظمة ذات منافذ مفتوحة وما هي هذه المنافذ. يوضح الشكل أدناه تركيز الموانئ المفتوحة حسب الدولة والمنظمة. سيكون من الممكن تحديد كتل الأنظمة المخترقة ، ولكن في الداخل عينة صغيرة لا يوجد شيء رائع ، باستثناء عدد كبير 500 منفذ مفتوح في الصين.

اكتشاف مثير للاهتمام هو وجود عدد كبير من الأنظمة في البرازيل غير مفتوح 22 ، 23 أو منافذ أخرىوفقًا لـ Censys و Shodan. على ما يبدو ، هذه اتصالات من أجهزة كمبيوتر المستخدم النهائي.

تحليل الهجمات على Honeypot Cowrie

روبوتات؟ ليس من الضروري

معطيات Censys بالنسبة للمنفذين 22 و 23 في ذلك اليوم أظهر غريبًا. افترضت أن معظم عمليات الفحص وهجمات كلمات المرور تأتي من برامج الروبوت. ينتشر البرنامج النصي عبر المنافذ المفتوحة ويخمن كلمات المرور وينسخ نفسه من النظام الجديد ويستمر في الانتشار بنفس الطريقة.

ولكن هنا يمكنك أن ترى أن عددًا قليلاً فقط من المضيفين الذين يقومون بفحص telnet لديهم منفذ 23 مفتوحًا للخارج ، وهذا يعني أن الأنظمة إما تعرضت للاختراق بطريقة أخرى ، أو أن المهاجمين يقومون بتشغيل البرامج النصية يدويًا.

تحليل الهجمات على Honeypot Cowrie

وصلات منزلية

ومن النتائج الأخرى المثيرة للاهتمام العدد الكبير من المستخدمين المنزليين في العينة. باستخدام بحث عكسي حددت 105 اتصالات من أجهزة كمبيوتر منزلية محددة. بالنسبة للعديد من الاتصالات المنزلية ، يُظهر بحث DNS العكسي اسم المضيف بالكلمات dsl والمنزل والكابل والألياف وما إلى ذلك.

تحليل الهجمات على Honeypot Cowrie

تعلم واستكشف: ارفع موضع الجذب الخاص بك

لقد كتبت مؤخرًا برنامجًا تعليميًا قصيرًا حول كيفية القيام بذلك تثبيت honeypot Cowrie على نظامك. كما ذكرنا ، في حالتنا ، استخدمنا Digital Ocean VPS في سنغافورة. لمدة 24 ساعة من التحليل ، كانت التكلفة حرفياً بضعة سنتات ، وكان وقت تجميع النظام 30 دقيقة.

بدلاً من تشغيل Cowrie على الإنترنت والتقاط كل الضوضاء ، يمكنك الاستفادة من موضع جذب على شبكتك المحلية. ضع إشعارًا دائمًا إذا تم إرسال الطلبات إلى منافذ معينة. هذا إما مهاجم داخل الشبكة ، أو موظف فضولي ، أو فحص للثغرات الأمنية.

النتائج

بعد مراجعة تصرفات المتسللين لمدة يوم ، يتضح أنه من المستحيل تحديد مصدر واضح للهجمات في أي منظمة أو دولة أو حتى نظام تشغيل.

يشير التوزيع الواسع للمصادر إلى أن ضوضاء المسح ثابتة وغير مرتبطة بمصدر معين. يجب على أي شخص يعمل على الإنترنت التأكد من أن نظامه لديه مستويات متعددة من الأمن. حل مشترك وفعال ل SSH سينقل الخدمة إلى منفذ عالي عشوائي. هذا لا يلغي الحاجة إلى الحماية القوية بكلمة المرور والمراقبة ، ولكنه على الأقل يضمن عدم انسداد السجلات بالمسح المستمر. من المرجح أن تكون اتصالات المنافذ العالية عبارة عن هجمات مستهدفة قد تكون مهتمًا بها.

غالبًا ما تكون منافذ telnet المفتوحة موجودة على أجهزة التوجيه أو الأجهزة الأخرى ، لذلك لا يمكن نقلها بسهولة إلى منفذ مرتفع. معلومات عن جميع المنافذ المفتوحة и أسطح الهجوم هي الطريقة الوحيدة للتأكد من أن هذه الخدمات محصورة بجدار حماية أو معطلة. إذا كان ذلك ممكنًا ، فلن تحتاج إلى استخدام Telnet على الإطلاق ، فهذا البروتوكول غير مشفر. إذا كنت في حاجة إليها وبدونها بأي شكل من الأشكال ، فعليك التحكم فيه بعناية واستخدام كلمات مرور قوية.

المصدر: www.habr.com

إضافة تعليق