Sinqapurdakı Rəqəmsal Okean qovşağında bal qabı quraşdırdıqdan sonra 24 saat ərzində statistika
Pew Pew! Dərhal hücum xəritəsi ilə başlayaq
Bizim super sərin xəritəmiz 24 saat ərzində Cowrie bal qabımıza qoşulan unikal ASN-ləri göstərir. Sarı SSH bağlantılarını, qırmızı isə Telneti təmsil edir. Bu cür animasiyalar tez-tez şirkətin direktorlar şurasını heyran edir və onlara təhlükəsizlik və resurslar üçün daha çox maliyyə təmin etməyə imkan verir. Bununla belə, xəritə müəyyən dəyərə malikdir və hücum mənbələrinin hostumuza cəmi 24 saat ərzində coğrafi və təşkilati yayılmasını aydın şəkildə nümayiş etdirir. Animasiya hər bir mənbədən gələn trafikin həcmini əks etdirmir.
Pew Pew Card nədir?
Pew Pew xəritəsi - Mi , adətən animasiyalı və çox gözəldir. Bu, Norse Corp tərəfindən istifadə edilməsi ilə məşhur olan məhsulunuzu satmağın dəbli yoludur. Şirkət pis başa çatdı: gözəl animasiyalar onların yeganə üstünlüyü olduğu ortaya çıxdı və təhlil üçün onlar eskiz məlumatlarından istifadə etdilər.
Leafletjs ilə hazırlanmışdır
Əməliyyat mərkəzində böyük ekran üçün hücum xəritəsi hazırlamaq istəyənlər üçün (müdiriniz bunu bəyənəcək) kitabxana var. . Plugin ilə birləşdirin , Maxmind GeoIP xidməti — .
WTF: Cowrie Honeypot nədir?
Bal qabı, təcavüzkarları cəlb etmək üçün xüsusi olaraq şəbəkəyə yerləşdirilən bir sistemdir. Sistemə qoşulmalar adətən qeyri-qanunidir və ətraflı qeydlərdən istifadə edərək təcavüzkarı aşkarlamağa imkan verir. Qeydlər yalnız adi əlaqə məlumatlarını deyil, həm də aşkar edən sessiya məlumatlarını saxlayır texnika, taktika və prosedurlar (TTP) hücumçu.
üçün yaradılmışdır SSH və Telnet əlaqə qeydləri. Bu bal qabları tez-tez hücum edənlərin alətlərini, skriptlərini və hostlarını izləmək üçün onlayn olaraq yerləşdirilir.
Hücuma məruz qalmadıqlarını düşünən şirkətlərə mesajım “Axtarışda yaxşı deyilsən”dir.
- James Snook
Günlüklərdə nə var?
Bağlantıların ümumi sayı
Bir çox hostlardan çoxsaylı qoşulma cəhdləri olub. Bu normaldır, çünki hücum edən skriptlərin etimadnamələr siyahısı var və onlar bir neçə kombinasiyanı sınayırlar. Honeypot Cowrie müəyyən istifadəçi adı/parol birləşmələrini qəbul etmək üçün konfiqurasiya edilmişdir. Bu konfiqurasiya edilir user.db faylı.
Hücumların coğrafiyası
Maxmind geolokasiya məlumatlarına əsaslanaraq, mən hər bir ölkədən qoşulmaların sayını saydım. Braziliya və Çin böyük fərqlə liderlik edir və bu ölkələrin skanerlərindən çox vaxt səs-küy yaranır.
Şəbəkə blokunun sahibi
Şəbəkə bloku sahiblərinin (ASN) müayinəsi çoxlu sayda hücum edən hostları olan təşkilatları aşkar edə bilər. Əlbəttə ki, belə hallarda, bir çox hücumların yoluxmuş hostlardan gəldiyini həmişə xatırlamalısınız. Zərər çəkənlərin əksəriyyətinin şəbəkəni ev kompüterindən skan edəcək qədər axmaq olmadığını düşünmək ağlabatandır.
Hücum edən sistemlərdə açıq limanlar (Shodan.io məlumatları)
Əla vasitəsilə IP siyahısı çalışan tez müəyyənləşdirir açıq portlu sistemlər və bu portlar nədir. Aşağıdakı rəqəm ölkələr və təşkilatlar üzrə açıq limanların konsentrasiyasını göstərir. Təhlükəli sistemlərin bloklarını müəyyən etmək mümkün olardı, lakin daxilində kiçik nümunə böyük sayı istisna olmaqla, görkəmli heç nə yoxdur Çində 500 açıq liman.
Maraqlı bir tapıntı Braziliyada olan çoxlu sayda sistemdir açılmır 22, 23 və ya digər limanlar, Censys və Shodana görə. Görünür, bunlar son istifadəçilərin kompüterlərindən olan əlaqələrdir.
Botlar? Lazım deyil
Məlumat 22 və 23 nömrəli limanlar üçün o gün qəribə göründü. Güman edirdim ki, skanların və parol hücumlarının əksəriyyəti botlardan gəlir. Skript açıq portlar üzərində yayılır, parolları təxmin edir və özünü yeni sistemdən kopyalayır və eyni üsulla yayılmağa davam edir.
Amma burada siz görə bilərsiniz ki, telneti skan edən çox az sayda hostun xaricə açıq port 23 var.Bu o deməkdir ki, sistemlər ya başqa şəkildə təhlükəyə məruz qalıb, ya da təcavüzkarlar skriptləri əl ilə işlədirlər.
Ev Əlaqələri
Digər maraqlı tapıntı nümunədə çoxlu sayda ev istifadəçisi olması idi. İstifadə etməklə tərs axtarış Mən xüsusi ev kompüterlərindən 105 əlaqə müəyyən etdim. Bir çox ev əlaqələri üçün əks DNS axtarışı host adını dsl, home, kabel, fiber və s. sözləri ilə göstərir.
Öyrənin və Kəşf Edin: Öz Bal Gücünüzü Artırın
Bu yaxınlarda necə olduğuna dair qısa bir təlimat yazdım . Qeyd edildiyi kimi, bizim vəziyyətimizdə Sinqapurda Digital Ocean VPS-dən istifadə etdik. 24 saatlıq analiz üçün xərc sözün əsl mənasında bir neçə sent, sistemin yığılması isə 30 dəqiqə idi.
İnternetdə Cowrie-ni işlətmək və bütün səs-küyü tutmaq əvəzinə, yerli şəbəkənizdə bir bal qabından faydalana bilərsiniz. Müəyyən portlara sorğu göndərildikdə həmişə bildiriş qoyun. Bu ya şəbəkə daxilində təcavüzkardır, ya da həvəssiz işçidir, ya da zəifliyin skanıdır.
Tapıntılar
Bir gün ərzində təcavüzkarların hərəkətlərini nəzərdən keçirdikdən sonra məlum olur ki, hər hansı bir təşkilatda, ölkədə və hətta əməliyyat sistemində açıq-aydın hücum mənbəyini qeyd etmək mümkün deyil.
Mənbələrin geniş paylanması skan səsinin sabit olduğunu və müəyyən bir mənbə ilə əlaqəli olmadığını göstərir. İnternetdə işləyən hər kəs sistemində olduğundan əmin olmalıdır çox səviyyəli təhlükəsizlik. üçün ümumi və effektiv həll SSH xidməti təsadüfi yüksək porta daşıyacaq. Bu, güclü parol qorunması və monitorinq ehtiyacını aradan qaldırmır, lakin ən azı logların daimi tarama ilə tıxanmamasını təmin edir. Yüksək port əlaqələri sizi maraqlandıran hədəf hücumlar olma ehtimalı daha yüksəkdir.
Çox vaxt açıq telnet portları marşrutlaşdırıcılarda və ya digər cihazlarda olur, ona görə də onları asanlıqla yüksək porta köçürmək olmur. и bu xidmətlərin təhlükəsizlik divarı ilə qorunduğuna və ya qeyri-aktiv olmasına əmin olmağın yeganə yoludur. Mümkünsə, Telnet-dən ümumiyyətlə istifadə etmək lazım deyil, bu protokol şifrələnmir. Əgər ehtiyacınız varsa və hər hansı bir şəkildə onsuz, onda diqqətlə nəzarət edin və güclü parollardan istifadə edin.
Mənbə: www.habr.com