إحصائيات لمدة 24 ساعة بعد تثبيت موضع الجذب على عقدة المحيط الرقمي في سنغافورة
بيو بيو! لنبدأ فورًا بخريطة الهجوم
تُظهر خريطتنا الرائعة للغاية ASNs الفريدة التي تتصل بمصيدة Cowrie الخاصة بنا في غضون 24 ساعة. يمثل اللون الأصفر اتصالات SSH ويمثل اللون الأحمر Telnet. غالبًا ما تثير هذه الرسوم المتحركة إعجاب مجلس إدارة الشركة ، مما يسمح لهم بتأمين المزيد من التمويل للأمن والموارد. ومع ذلك ، فإن الخريطة لها بعض القيمة ، حيث توضح بوضوح الانتشار الجغرافي والتنظيمي لمصادر الهجوم على مضيفنا في غضون 24 ساعة فقط. لا يعكس الرسم المتحرك حجم حركة المرور من كل مصدر.
ما هي بطاقة بيو بيو؟
خريطة بيو بيو - هو
مصنوعة من Leafletjs
بالنسبة لأولئك الذين يرغبون في تطوير خريطة هجومية للشاشة الكبيرة في مركز العمليات (سيحبها رئيسك في العمل) ، هناك مكتبة
WTF: ما هو موقع Cowrie Honeypot؟
موضع الجذب هو نظام يتم وضعه على شبكة خصيصًا لجذب الدخلاء. عادة ما تكون الاتصالات بالنظام غير قانونية وتسمح لك باكتشاف متسلل باستخدام سجلات مفصلة. لا تخزن السجلات معلومات الاتصال المعتادة فحسب ، بل تخزن أيضًا معلومات الجلسة التي تكشف عنها التقنية والتكتيكات والإجراءات (TTP) مهاجم.
رسالتي إلى الشركات التي تعتقد أنها لم تتعرض للهجوم هي "أنت لست جيدًا في البحث."
- جيمس سنوك
ماذا يوجد في السجلات؟
إجمالي عدد الاتصالات
كانت هناك محاولات اتصال متعددة من العديد من المضيفين. هذا أمر طبيعي ، لأن البرامج النصية المهاجمة لديها قائمة بأوراق الاعتماد وهي تحاول عدة تركيبات. تم تكوين Honeypot Cowrie لقبول بعض مجموعات اسم المستخدم / كلمة المرور. تم تكوين هذا في ملف user.db.
جغرافية الهجمات
استنادًا إلى بيانات تحديد الموقع الجغرافي Maxmind ، قمت بحساب عدد الاتصالات من كل بلد. تتصدر البرازيل والصين بهامش كبير ، وغالبًا ما يكون هناك الكثير من الضوضاء من أجهزة المسح من هذه البلدان.
مالك كتلة الشبكة
يمكن لفحص مالكي كتلة الشبكة (ASN) الكشف عن المؤسسات التي بها عدد كبير من المضيفين المهاجمين. بالطبع ، في مثل هذه الحالات ، يجب أن تتذكر دائمًا أن العديد من الهجمات تأتي من مضيفين مصابين. من المعقول أن نفترض أن معظم المتسللين ليسوا أغبياء بحيث يقومون بمسح الشبكة من جهاز كمبيوتر منزلي.
فتح المنافذ على أنظمة الهجوم (بيانات Shodan.io)
تشغيل قائمة IP من خلال ممتاز
اكتشاف مثير للاهتمام هو وجود عدد كبير من الأنظمة في البرازيل غير مفتوح 22 ، 23 أو منافذ أخرىوفقًا لـ Censys و Shodan. على ما يبدو ، هذه اتصالات من أجهزة كمبيوتر المستخدم النهائي.
روبوتات؟ ليس من الضروري
معطيات
ولكن هنا يمكنك أن ترى أن عددًا قليلاً فقط من المضيفين الذين يقومون بفحص telnet لديهم منفذ 23 مفتوحًا للخارج ، وهذا يعني أن الأنظمة إما تعرضت للاختراق بطريقة أخرى ، أو أن المهاجمين يقومون بتشغيل البرامج النصية يدويًا.
وصلات منزلية
ومن النتائج الأخرى المثيرة للاهتمام العدد الكبير من المستخدمين المنزليين في العينة. باستخدام بحث عكسي حددت 105 اتصالات من أجهزة كمبيوتر منزلية محددة. بالنسبة للعديد من الاتصالات المنزلية ، يُظهر بحث DNS العكسي اسم المضيف بالكلمات dsl والمنزل والكابل والألياف وما إلى ذلك.
تعلم واستكشف: ارفع موضع الجذب الخاص بك
لقد كتبت مؤخرًا برنامجًا تعليميًا قصيرًا حول كيفية القيام بذلك
بدلاً من تشغيل Cowrie على الإنترنت والتقاط كل الضوضاء ، يمكنك الاستفادة من موضع جذب على شبكتك المحلية. ضع إشعارًا دائمًا إذا تم إرسال الطلبات إلى منافذ معينة. هذا إما مهاجم داخل الشبكة ، أو موظف فضولي ، أو فحص للثغرات الأمنية.
النتائج
بعد مراجعة تصرفات المتسللين لمدة يوم ، يتضح أنه من المستحيل تحديد مصدر واضح للهجمات في أي منظمة أو دولة أو حتى نظام تشغيل.
يشير التوزيع الواسع للمصادر إلى أن ضوضاء المسح ثابتة وغير مرتبطة بمصدر معين. يجب على أي شخص يعمل على الإنترنت التأكد من أن نظامه لديه مستويات متعددة من الأمن. حل مشترك وفعال ل SSH سينقل الخدمة إلى منفذ عالي عشوائي. هذا لا يلغي الحاجة إلى الحماية القوية بكلمة المرور والمراقبة ، ولكنه على الأقل يضمن عدم انسداد السجلات بالمسح المستمر. من المرجح أن تكون اتصالات المنافذ العالية عبارة عن هجمات مستهدفة قد تكون مهتمًا بها.
غالبًا ما تكون منافذ telnet المفتوحة موجودة على أجهزة التوجيه أو الأجهزة الأخرى ، لذلك لا يمكن نقلها بسهولة إلى منفذ مرتفع.
المصدر: www.habr.com