Statistika za 24 sata nakon instaliranja honeypota na čvor Digital Ocean u Singapuru
Pew Pew! Krenimo odmah sa mapom napada
Naša super cool mapa pokazuje jedinstvene ASN-ove koji su se povezali s našim Cowrie medom za 24 sata. Žuta predstavlja SSH veze, a crvena Telnet. Takve animacije često impresioniraju upravni odbor kompanije, omogućavajući im da obezbede više sredstava za sigurnost i resurse. Međutim, karta ima određenu vrijednost, jasno pokazuje geografsko i organizacijsko širenje izvora napada na naš domaćin u samo 24 sata. Animacija ne odražava obim saobraćaja iz svakog izvora.
Šta je Pew Pew kartica?
Mapa Pew Pew Je
Napravljeno sa Leafletjs-om
Za one koji žele razviti kartu napada za veliki ekran u operativnom centru (vašem šefu će se svidjeti), postoji biblioteka
WTF: Šta je Cowrie Honeypot?
Honeypot je sistem koji se postavlja na mrežu posebno da bi namamio uljeze. Veze sa sistemom su obično ilegalne i omogućavaju vam da otkrijete uljeza pomoću detaljnih dnevnika. Dnevnici pohranjuju ne samo uobičajene informacije o vezi, već i informacije o sesiji koje otkrivaju tehnika, taktika i procedure (TTP) napadač.
Moja poruka kompanijama koje misle da nisu napadnute je "Niste dobri u pretraživanju."
— Džejms Snuk
Šta je u evidenciji?
Ukupan broj priključaka
Bilo je više pokušaja povezivanja sa mnogih hostova. To je normalno, jer napadačke skripte imaju listu vjerodajnica i pokušavaju nekoliko kombinacija. Honeypot Cowrie je konfigurisan da prihvati određene kombinacije korisničkog imena/lozinke. Ovo je konfigurisano u user.db fajl.
Geografija napada
Na osnovu Maxmind geolokacijskih podataka, prebrojao sam broj veza iz svake zemlje. Brazil i Kina prednjače sa velikom razlikom, a često je velika buka od skenera iz ovih zemalja.
Vlasnik mrežnog bloka
Ispitivanje vlasnika mrežnih blokova (ASN) može otkriti organizacije s velikim brojem napadačkih hostova. Naravno, u takvim slučajevima uvijek treba imati na umu da mnogi napadi dolaze od zaraženih domaćina. Razumno je pretpostaviti da većina uljeza nije toliko glupa da skenira Net sa kućnog računara.
Otvoreni portovi na napadačkim sistemima (Shodan.io podaci)
Pokretanje IP liste kroz odlično
Zanimljivo otkriće je veliki broj sistema u Brazilu koji imaju nije otvoren 22, 23 ili druge luke, prema Censys i Shodan. Navodno se radi o konekcijama sa računara krajnjih korisnika.
Botovi? Nije potrebno
podaci
Ali ovdje možete vidjeti da samo mali broj hostova koji skeniraju telnet ima port 23 otvoren prema van. To znači da su sistemi ili kompromitovani na neki drugi način, ili da su napadači ručno pokrenuli skripte.
Home Connections
Još jedan zanimljiv nalaz bio je veliki broj kućnih korisnika u uzorku. Korišćenjem obrnuto traženje Identificirao sam 105 veza sa određenih kućnih računara. Za mnoge kućne veze, obrnuta DNS pretraga pokazuje ime hosta sa riječima dsl, home, kabel, vlakno i tako dalje.
Učite i istražujte: Podignite vlastiti Honeypot
Nedavno sam napisao kratak vodič o tome kako
Umjesto da pokrećete Cowrie na internetu i hvatate svu buku, možete imati koristi od honeypota na vašoj lokalnoj mreži. Uvijek stavite obavijest ako se zahtjevi šalju na određene portove. Ovo je ili napadač unutar mreže, ili radoznali zaposlenik, ili skeniranje ranjivosti.
nalazi
Nakon jednodnevnog pregleda akcija uljeza, postaje jasno da je nemoguće identificirati jasan izvor napada u bilo kojoj organizaciji, zemlji ili čak operativnom sistemu.
Široka distribucija izvora ukazuje da je šum skeniranja konstantan i da nije povezan s određenim izvorom. Svako ko radi na internetu treba da se uveri da njihov sistem ima više nivoa sigurnosti. Uobičajeno i efikasno rešenje za SSH će premjestiti uslugu na nasumični visoki port. Ovo ne eliminiše potrebu za jakom zaštitom lozinkom i nadzorom, ali barem osigurava da se evidencije ne začepe stalnim skeniranjem. Veća je vjerovatnoća da će veze sa visokim portovima biti ciljani napadi koji bi vas mogli zanimati.
Često su otvoreni telnet portovi na ruterima ili drugim uređajima, tako da se ne mogu lako premjestiti na visoki port.
izvor: www.habr.com