Статыстыка за 24 гадзіны пасля ўстаноўкі ханіпоту на вузле Digital Ocean у Сінгапуры.
Піў-піў! Пачнём адразу з карты нападаў
Наша суперкласная карта паказвае унікальныя ASN, якія падключаліся да нашага ханіпоце Cowrie за 24 гадзіны. Жоўты адпавядае SSH-злучэнням, а чырвоны - Telnet. Такія анімацыі часта ўражваюць раду дырэктараў кампаніі, што дазваляе выбіць больш фінансавання на бяспеку і рэсурсы. Тым не менш, карта мае некаторую каштоўнасць, выразна дэманструючы геаграфічнае і арганізацыйнае распаўсюджванне крыніц нападу на наш хост усяго за 24 гадзіны. У анімацыі не адлюстроўваецца аб'ём трафіку з кожнай крыніцы.
Што такое карта Pew Pew?
Карта Pew Pew - Гэта
Зроблена з дапамогай Leafletjs
Для тых, хто жадае распрацаваць карту нападаў для вялікага экрана ў аперацыйным цэнтры (вашаму босу спадабаецца), ёсць бібліятэка
WTF: што яшчэ за ханіпот Cowrie?
Ханіпот - гэта сістэма, якая размяшчаецца ў сетцы спецыяльна для прынаджвання зламыснікаў. Падлучэнні да сістэмы, як правіла, незаконныя і дазваляюць выявіць зламысніка з дапамогай падрабязных логаў. Логі захоўваюць не толькі звычайную інфармацыю аб злучэнні, але і інфармацыю аб сеансе, якая раскрывае тэхніку, тактыку і працэдуры (TTP) зламысніка.
Маё пасланне для кампаній, якія думаюць, што іх не атакуюць: "Вы дрэнна шукаеце".
- Джэймс Снук
Што ў логах?
Агульная колькасць злучэнняў
З многіх хастоў паступалі неаднаразовыя спробы падключэння. Гэта нармальна, паколькі ў атакавалых скрыптах забіты спіс уліковых дадзеных і яны спрабуюць некалькі камбінацый. Ханіпот Cowrie настроены на прыём пэўных камбінацый імя карыстальніка і пароля. Гэта наладжваецца ў файле user.db.
Геаграфія нападаў
Па дадзеных геолокации Maxmind я падлічыў колькасць злучэнняў з кожнай краіны. Бразілія і Кітай лідзіруюць з вялікім адрывам, з гэтых краін часта ідзе вялікі шум ад сканараў.
Уладальнік сеткавага блока
Вывучэнне ўладальнікаў сеткавых блокаў (ASN) можа выявіць арганізацыі з вялікай колькасцю атакавалых хастоў. Вядома, а такіх выпадках заўсёды варта памятаць, што шматлікія напады ідуць з заражаных хастоў. Разумна выказаць здагадку, што большасць зламыснікаў не настолькі дурныя, каб сканаваць Сетка з хатняга кампутара.
Адкрытыя парты на атакавалых сістэмах (дадзеныя Shodan.io)
Прагон спісу IP праз цудоўны
Цікавая знаходка - вялікая колькасць сістэм у Бразіліі, у якіх ня адкрыты 22, 23 або іншыя парты, па дадзеных Censys і Shodan. Судзячы па ўсім, гэта злучэнні з кампутараў канчатковых карыстачоў.
Боты? Не абавязкова
Дадзеныя
Але тут відаць, што толькі ў невялікай колькасці хастоў, якія скануюць telnet, адчынены вонкі порт 23. Гэта азначае, што сістэмы альбо скампраметаваныя іншым спосабам, альбо зламыснікі запускаюць скрыпты ўручную.
Хатнія падключэнні
Іншы цікавай знаходкай стала вялікая колькасць хатніх карыстальнікаў у выбарцы. З дапамогай зваротнага прагляду я вызначыў 105 злучэнняў з канкрэтных хатніх кампутараў. Для шматлікіх хатніх злучэнняў пры зваротным праглядзе DNS адлюстроўваецца імя хаста са словамі dsl, home, cable, fiber і гэтак далей.
Вучыцеся і даследуйце: падніміце ўласны ханіпот
Нядаўна я напісаў кароткі мануал, як
Замест таго, каб запускаць Cowrie у інтэрнэце і лавіць увесь шум, можна атрымаць карысць ад ханіпота ў лакальнай сетцы. Поста ставіце апавяшчэнне, калі на пэўныя парты пайшлі запыты. Гэта ці зламыснік усярэдзіне сетак, ці цікаўны супрацоўнік, ці сканаванне ўразлівасцяў.
Высновы
Пасля прагляду дзеянняў зламыснікаў за суткі становіцца ясна, што нельга вылучыць відавочную крыніцу нападаў у нейкай арганізацыі, краіне ці нават аперацыйнай сістэме.
Шырокае распаўсюджванне крыніц паказвае, што шум сканавання пастаянны і не асацыюецца з канкрэтнай крыніцай. Любы, хто працуе ў інтэрнэце, павінен упэўніцца, што ў яго сістэмы некалькі ўзроўняў бяспекі. Распаўсюджаным і эфектыўным рашэннем для SSH будзе перамяшчэнне сэрвісу на выпадковы высокі порт. Гэта не пазбаўляе ад неабходнасці строгай парольнай абароны і маніторынгу, але хаця б гарантуе, што логі не забіваюцца пастаянным сканаваннем. Падлучэнні да высокага порта - гэта з большай верагоднасцю нацэленыя напады, якія могуць вас зацікавіць.
Часта адчыненыя парты telnet знаходзяцца на маршрутызатарах ці іншых прыладах, так што іх нельга лёгка перамясціць на высокі порт.
Крыніца: habr.com