Sinqapurdakı Rəqəmsal Okean qovşağında bal qabı quraşdırdıqdan sonra 24 saat ərzində statistika
Pew Pew! Dərhal hücum xəritəsi ilə başlayaq
Bizim super sərin xəritəmiz 24 saat ərzində Cowrie bal qabımıza qoşulan unikal ASN-ləri göstərir. Sarı SSH bağlantılarını, qırmızı isə Telneti təmsil edir. Bu cür animasiyalar tez-tez şirkətin direktorlar şurasını heyran edir və onlara təhlükəsizlik və resurslar üçün daha çox maliyyə təmin etməyə imkan verir. Bununla belə, xəritə müəyyən dəyərə malikdir və hücum mənbələrinin hostumuza cəmi 24 saat ərzində coğrafi və təşkilati yayılmasını aydın şəkildə nümayiş etdirir. Animasiya hər bir mənbədən gələn trafikin həcmini əks etdirmir.
Pew Pew Card nədir?
Pew Pew xəritəsi - Mi
Leafletjs ilə hazırlanmışdır
Əməliyyat mərkəzində böyük ekran üçün hücum xəritəsi hazırlamaq istəyənlər üçün (müdiriniz bunu bəyənəcək) kitabxana var.
WTF: Cowrie Honeypot nədir?
Bal qabı, təcavüzkarları cəlb etmək üçün xüsusi olaraq şəbəkəyə yerləşdirilən bir sistemdir. Sistemə qoşulmalar adətən qeyri-qanunidir və ətraflı qeydlərdən istifadə edərək təcavüzkarı aşkarlamağa imkan verir. Qeydlər yalnız adi əlaqə məlumatlarını deyil, həm də aşkar edən sessiya məlumatlarını saxlayır texnika, taktika və prosedurlar (TTP) hücumçu.
Hücuma məruz qalmadıqlarını düşünən şirkətlərə mesajım “Axtarışda yaxşı deyilsən”dir.
- James Snook
Günlüklərdə nə var?
Bağlantıların ümumi sayı
Bir çox hostlardan çoxsaylı qoşulma cəhdləri olub. Bu normaldır, çünki hücum edən skriptlərin etimadnamələr siyahısı var və onlar bir neçə kombinasiyanı sınayırlar. Honeypot Cowrie müəyyən istifadəçi adı/parol birləşmələrini qəbul etmək üçün konfiqurasiya edilmişdir. Bu konfiqurasiya edilir user.db faylı.
Hücumların coğrafiyası
Maxmind geolokasiya məlumatlarına əsaslanaraq, mən hər bir ölkədən qoşulmaların sayını saydım. Braziliya və Çin böyük fərqlə liderlik edir və bu ölkələrin skanerlərindən çox vaxt səs-küy yaranır.
Şəbəkə blokunun sahibi
Şəbəkə bloku sahiblərinin (ASN) müayinəsi çoxlu sayda hücum edən hostları olan təşkilatları aşkar edə bilər. Əlbəttə ki, belə hallarda, bir çox hücumların yoluxmuş hostlardan gəldiyini həmişə xatırlamalısınız. Zərər çəkənlərin əksəriyyətinin şəbəkəni ev kompüterindən skan edəcək qədər axmaq olmadığını düşünmək ağlabatandır.
Hücum edən sistemlərdə açıq limanlar (Shodan.io məlumatları)
Əla vasitəsilə IP siyahısı çalışan
Maraqlı bir tapıntı Braziliyada olan çoxlu sayda sistemdir açılmır 22, 23 və ya digər limanlar, Censys və Shodana görə. Görünür, bunlar son istifadəçilərin kompüterlərindən olan əlaqələrdir.
Botlar? Lazım deyil
Məlumat
Amma burada siz görə bilərsiniz ki, telneti skan edən çox az sayda hostun xaricə açıq port 23 var.Bu o deməkdir ki, sistemlər ya başqa şəkildə təhlükəyə məruz qalıb, ya da təcavüzkarlar skriptləri əl ilə işlədirlər.
Ev Əlaqələri
Digər maraqlı tapıntı nümunədə çoxlu sayda ev istifadəçisi olması idi. İstifadə etməklə tərs axtarış Mən xüsusi ev kompüterlərindən 105 əlaqə müəyyən etdim. Bir çox ev əlaqələri üçün əks DNS axtarışı host adını dsl, home, kabel, fiber və s. sözləri ilə göstərir.
Öyrənin və Kəşf Edin: Öz Bal Gücünüzü Artırın
Bu yaxınlarda necə olduğuna dair qısa bir təlimat yazdım
İnternetdə Cowrie-ni işlətmək və bütün səs-küyü tutmaq əvəzinə, yerli şəbəkənizdə bir bal qabından faydalana bilərsiniz. Müəyyən portlara sorğu göndərildikdə həmişə bildiriş qoyun. Bu ya şəbəkə daxilində təcavüzkardır, ya da həvəssiz işçidir, ya da zəifliyin skanıdır.
Tapıntılar
Bir gün ərzində təcavüzkarların hərəkətlərini nəzərdən keçirdikdən sonra məlum olur ki, hər hansı bir təşkilatda, ölkədə və hətta əməliyyat sistemində açıq-aydın hücum mənbəyini qeyd etmək mümkün deyil.
Mənbələrin geniş paylanması skan səsinin sabit olduğunu və müəyyən bir mənbə ilə əlaqəli olmadığını göstərir. İnternetdə işləyən hər kəs sistemində olduğundan əmin olmalıdır çox səviyyəli təhlükəsizlik. üçün ümumi və effektiv həll SSH xidməti təsadüfi yüksək porta daşıyacaq. Bu, güclü parol qorunması və monitorinq ehtiyacını aradan qaldırmır, lakin ən azı logların daimi tarama ilə tıxanmamasını təmin edir. Yüksək port əlaqələri sizi maraqlandıran hədəf hücumlar olma ehtimalı daha yüksəkdir.
Çox vaxt açıq telnet portları marşrutlaşdırıcılarda və ya digər cihazlarda olur, ona görə də onları asanlıqla yüksək porta köçürmək olmur.
Mənbə: www.habr.com