Statistika za 24 sata nakon instaliranja honeypota na čvor Digital Ocean u Singapuru
Pew Pew! Krenimo odmah sa mapom napada
Naša super cool mapa pokazuje jedinstvene ASN-ove koji su se povezali s našim Cowrie medom za 24 sata. Žuta predstavlja SSH veze, a crvena Telnet. Takve animacije često impresioniraju upravni odbor kompanije, omogućavajući im da obezbede više sredstava za sigurnost i resurse. Međutim, karta ima određenu vrijednost, jasno pokazuje geografsko i organizacijsko širenje izvora napada na naš domaćin u samo 24 sata. Animacija ne odražava obim saobraćaja iz svakog izvora.
Šta je Pew Pew kartica?
Mapa Pew Pew Je , obično animirano i vrlo lijepo. To je moderan način prodaje vašeg proizvoda, ozloglašenog po tome što ga koristi Norse Corp. Kompanija je loše završila: ispostavilo se da su lijepe animacije njihova jedina prednost, a za analizu su koristili skicirane podatke.
Napravljeno sa Leafletjs-om
Za one koji žele razviti kartu napada za veliki ekran u operativnom centru (vašem šefu će se svidjeti), postoji biblioteka . Kombinirajte ga s dodatkom , Maxmind GeoIP usluga — .
WTF: Šta je Cowrie Honeypot?
Honeypot je sistem koji se postavlja na mrežu posebno da bi namamio uljeze. Veze sa sistemom su obično ilegalne i omogućavaju vam da otkrijete uljeza pomoću detaljnih dnevnika. Dnevnici pohranjuju ne samo uobičajene informacije o vezi, već i informacije o sesiji koje otkrivaju tehnika, taktika i procedure (TTP) napadač.
stvoreno za SSH i Telnet zapisi veza. Ovi honeypots se često objavljuju na mreži kako bi se pratili alati, skripte i domaćini napadača.
Moja poruka kompanijama koje misle da nisu napadnute je "Niste dobri u pretraživanju."
— Džejms Snuk
Šta je u evidenciji?
Ukupan broj priključaka
Bilo je više pokušaja povezivanja sa mnogih hostova. To je normalno, jer napadačke skripte imaju listu vjerodajnica i pokušavaju nekoliko kombinacija. Honeypot Cowrie je konfigurisan da prihvati određene kombinacije korisničkog imena/lozinke. Ovo je konfigurisano u user.db fajl.
Geografija napada
Na osnovu Maxmind geolokacijskih podataka, prebrojao sam broj veza iz svake zemlje. Brazil i Kina prednjače sa velikom razlikom, a često je velika buka od skenera iz ovih zemalja.
Vlasnik mrežnog bloka
Ispitivanje vlasnika mrežnih blokova (ASN) može otkriti organizacije s velikim brojem napadačkih hostova. Naravno, u takvim slučajevima uvijek treba imati na umu da mnogi napadi dolaze od zaraženih domaćina. Razumno je pretpostaviti da većina uljeza nije toliko glupa da skenira Net sa kućnog računara.
Otvoreni portovi na napadačkim sistemima (Shodan.io podaci)
Pokretanje IP liste kroz odlično brzo određuje sistemi sa otvorenim portovima i koji su to portovi. Na slici ispod prikazana je koncentracija otvorenih luka po zemljama i organizacijama. Bilo bi moguće identifikovati blokove kompromitovanih sistema, ali unutar mali uzorak nema ništa izvanredno, osim velikog broja 500 otvorenih luka u Kini.
Zanimljivo otkriće je veliki broj sistema u Brazilu koji imaju nije otvoren 22, 23 ili druge luke, prema Censys i Shodan. Navodno se radi o konekcijama sa računara krajnjih korisnika.
Botovi? Nije potrebno
podaci za luke 22 i 23 taj dan je bio čudan. Pretpostavio sam da većina skeniranja i napada na lozinku dolazi od botova. Skripta se širi preko otvorenih portova, pogađajući lozinke i kopira se sa novog sistema i nastavlja da se širi koristeći isti metod.
Ali ovdje možete vidjeti da samo mali broj hostova koji skeniraju telnet ima port 23 otvoren prema van. To znači da su sistemi ili kompromitovani na neki drugi način, ili da su napadači ručno pokrenuli skripte.
Home Connections
Još jedan zanimljiv nalaz bio je veliki broj kućnih korisnika u uzorku. Korišćenjem obrnuto traženje Identificirao sam 105 veza sa određenih kućnih računara. Za mnoge kućne veze, obrnuta DNS pretraga pokazuje ime hosta sa riječima dsl, home, kabel, vlakno i tako dalje.
Učite i istražujte: Podignite vlastiti Honeypot
Nedavno sam napisao kratak vodič o tome kako . Kao što je spomenuto, u našem slučaju koristili smo Digital Ocean VPS u Singapuru. Za 24 sata analize, cijena je bila bukvalno nekoliko centi, a vrijeme za sklapanje sistema je bilo 30 minuta.
Umjesto da pokrećete Cowrie na internetu i hvatate svu buku, možete imati koristi od honeypota na vašoj lokalnoj mreži. Uvijek stavite obavijest ako se zahtjevi šalju na određene portove. Ovo je ili napadač unutar mreže, ili radoznali zaposlenik, ili skeniranje ranjivosti.
nalazi
Nakon jednodnevnog pregleda akcija uljeza, postaje jasno da je nemoguće identificirati jasan izvor napada u bilo kojoj organizaciji, zemlji ili čak operativnom sistemu.
Široka distribucija izvora ukazuje da je šum skeniranja konstantan i da nije povezan s određenim izvorom. Svako ko radi na internetu treba da se uveri da njihov sistem ima više nivoa sigurnosti. Uobičajeno i efikasno rešenje za SSH će premjestiti uslugu na nasumični visoki port. Ovo ne eliminiše potrebu za jakom zaštitom lozinkom i nadzorom, ali barem osigurava da se evidencije ne začepe stalnim skeniranjem. Veća je vjerovatnoća da će veze sa visokim portovima biti ciljani napadi koji bi vas mogli zanimati.
Često su otvoreni telnet portovi na ruterima ili drugim uređajima, tako da se ne mogu lako premjestiti na visoki port. и je jedini način da osigurate da su ove usluge zaštićene vatrozidom ili onemogućene. Ako je moguće, ne morate uopće koristiti Telnet, ovaj protokol nije šifriran. Ako vam je potreban i bez njega na bilo koji način, onda ga pažljivo kontrolirajte i koristite jake lozinke.
izvor: www.habr.com