Статыстыка за 24 гадзіны пасля ўстаноўкі ханіпоту на вузле Digital Ocean у Сінгапуры.
Піў-піў! Пачнём адразу з карты нападаў
Наша суперкласная карта паказвае унікальныя ASN, якія падключаліся да нашага ханіпоце Cowrie за 24 гадзіны. Жоўты адпавядае SSH-злучэнням, а чырвоны - Telnet. Такія анімацыі часта ўражваюць раду дырэктараў кампаніі, што дазваляе выбіць больш фінансавання на бяспеку і рэсурсы. Тым не менш, карта мае некаторую каштоўнасць, выразна дэманструючы геаграфічнае і арганізацыйнае распаўсюджванне крыніц нападу на наш хост усяго за 24 гадзіны. У анімацыі не адлюстроўваецца аб'ём трафіку з кожнай крыніцы.
Што такое карта Pew Pew?
Карта Pew Pew - Гэта , звычайна аніміраваная і вельмі прыгожая. Гэта модны спосаб прадаць свой прадукт, сумна вядомы тым, што яго выкарыстоўвала кампанія Norse Corp. Кампанія дрэнна скончыла: аказалася, што прыгожыя анімашкі – іх адзіная добрая якасць, а для аналізу яны выкарыстоўвалі ўрыўкавыя дадзеныя.
Зроблена з дапамогай Leafletjs
Для тых, хто жадае распрацаваць карту нападаў для вялікага экрана ў аперацыйным цэнтры (вашаму босу спадабаецца), ёсць бібліятэка . Аб'ядноўваем яе з убудовай , сэрвісам Maxmind GeoIP .
WTF: што яшчэ за ханіпот Cowrie?
Ханіпот - гэта сістэма, якая размяшчаецца ў сетцы спецыяльна для прынаджвання зламыснікаў. Падлучэнні да сістэмы, як правіла, незаконныя і дазваляюць выявіць зламысніка з дапамогай падрабязных логаў. Логі захоўваюць не толькі звычайную інфармацыю аб злучэнні, але і інфармацыю аб сеансе, якая раскрывае тэхніку, тактыку і працэдуры (TTP) зламысніка.
прызначаны для запісы злучэнняў SSH і Telnet. Такія ханіпоты часта выводзяць у інтэрнэт, каб адсочваць інструменты, скрыпты і хасты зламыснікаў.
Маё пасланне для кампаній, якія думаюць, што іх не атакуюць: "Вы дрэнна шукаеце".
- Джэймс Снук
Што ў логах?
Агульная колькасць злучэнняў
З многіх хастоў паступалі неаднаразовыя спробы падключэння. Гэта нармальна, паколькі ў атакавалых скрыптах забіты спіс уліковых дадзеных і яны спрабуюць некалькі камбінацый. Ханіпот Cowrie настроены на прыём пэўных камбінацый імя карыстальніка і пароля. Гэта наладжваецца ў файле user.db.
Геаграфія нападаў
Па дадзеных геолокации Maxmind я падлічыў колькасць злучэнняў з кожнай краіны. Бразілія і Кітай лідзіруюць з вялікім адрывам, з гэтых краін часта ідзе вялікі шум ад сканараў.
Уладальнік сеткавага блока
Вывучэнне ўладальнікаў сеткавых блокаў (ASN) можа выявіць арганізацыі з вялікай колькасцю атакавалых хастоў. Вядома, а такіх выпадках заўсёды варта памятаць, што шматлікія напады ідуць з заражаных хастоў. Разумна выказаць здагадку, што большасць зламыснікаў не настолькі дурныя, каб сканаваць Сетка з хатняга кампутара.
Адкрытыя парты на атакавалых сістэмах (дадзеныя Shodan.io)
Прагон спісу IP праз цудоўны хутка вызначае сістэмы з адкрытымі партамі і што гэта за парты. На малюнку ніжэй паказана канцэнтрацыя адкрытых партоў па краінах і арганізацыям. Можна было б выявіць блокі скампраметаваных сістэм, але ў межах маленькай выбаркі не відаць нічога выбітнага, акрамя вялікай колькасці адкрытых партоў 500 у Кітаі.
Цікавая знаходка - вялікая колькасць сістэм у Бразіліі, у якіх ня адкрыты 22, 23 або іншыя парты, па дадзеных Censys і Shodan. Судзячы па ўсім, гэта злучэнні з кампутараў канчатковых карыстачоў.
Боты? Не абавязкова
Дадзеныя для партоў 22 і 23 за той дзень паказалі дзіўнае. Я меркаваў, што большасць сканаў і парольных нападаў ідзе ад робатаў. Скрыпт распаўсюджваецца па адчыненых партах, падбіраючы паролі, а з новай сістэмы капіюе сябе і працягвае распаўсюджвацца тым жа метадам.
Але тут відаць, што толькі ў невялікай колькасці хастоў, якія скануюць telnet, адчынены вонкі порт 23. Гэта азначае, што сістэмы альбо скампраметаваныя іншым спосабам, альбо зламыснікі запускаюць скрыпты ўручную.
Хатнія падключэнні
Іншы цікавай знаходкай стала вялікая колькасць хатніх карыстальнікаў у выбарцы. З дапамогай зваротнага прагляду я вызначыў 105 злучэнняў з канкрэтных хатніх кампутараў. Для шматлікіх хатніх злучэнняў пры зваротным праглядзе DNS адлюстроўваецца імя хаста са словамі dsl, home, cable, fiber і гэтак далей.
Вучыцеся і даследуйце: падніміце ўласны ханіпот
Нядаўна я напісаў кароткі мануал, як . Як ужо згадвалася, у нашым выпадку выкарыстоўваўся Digital Ocean VPS у Сінгапуры. За 24 гадзіны аналізу кошт склаў літаральна некалькі цэнтаў, а час на зборку сістэмы - 30 хвілін.
Замест таго, каб запускаць Cowrie у інтэрнэце і лавіць увесь шум, можна атрымаць карысць ад ханіпота ў лакальнай сетцы. Поста ставіце апавяшчэнне, калі на пэўныя парты пайшлі запыты. Гэта ці зламыснік усярэдзіне сетак, ці цікаўны супрацоўнік, ці сканаванне ўразлівасцяў.
Высновы
Пасля прагляду дзеянняў зламыснікаў за суткі становіцца ясна, што нельга вылучыць відавочную крыніцу нападаў у нейкай арганізацыі, краіне ці нават аперацыйнай сістэме.
Шырокае распаўсюджванне крыніц паказвае, што шум сканавання пастаянны і не асацыюецца з канкрэтнай крыніцай. Любы, хто працуе ў інтэрнэце, павінен упэўніцца, што ў яго сістэмы некалькі ўзроўняў бяспекі. Распаўсюджаным і эфектыўным рашэннем для SSH будзе перамяшчэнне сэрвісу на выпадковы высокі порт. Гэта не пазбаўляе ад неабходнасці строгай парольнай абароны і маніторынгу, але хаця б гарантуе, што логі не забіваюцца пастаянным сканаваннем. Падлучэнні да высокага порта - гэта з большай верагоднасцю нацэленыя напады, якія могуць вас зацікавіць.
Часта адчыненыя парты telnet знаходзяцца на маршрутызатарах ці іншых прыладах, так што іх нельга лёгка перамясціць на высокі порт. и - адзіны спосаб пераканацца, што гэтыя службы абаронены файрвалам або адключаныя. Па магчымасці не трэба ўвогуле выкарыстоўваць Telnet, гэты пратакол не шыфруецца. Калі ён патрэбен і без гэтага ніяк, то ўважліва яго кантралюйце і выкарыстоўвайце надзейныя паролі.
Крыніца: habr.com