Estadístiques durant 24 hores després d'instal·lar un honeypot en un node de l'oceà digital a Singapur
Pew Pew! Comencem de seguida amb el mapa d'atac
El nostre mapa fantàstic mostra els ASN únics que es van connectar al nostre pot de mel Cowrie en 24 hores. El groc correspon a connexions SSH i el vermell correspon a Telnet. Aquestes animacions sovint impressionen el consell d'administració de l'empresa, cosa que pot ajudar a obtenir més finançament per a la seguretat i els recursos. Tanmateix, el mapa té algun valor, mostrant clarament la propagació geogràfica i organitzativa de les fonts d'atac al nostre amfitrió en només 24 hores. L'animació no reflecteix la quantitat de trànsit de cada font.
Què és un mapa de Pew Pew?
Mapa de Pew Pew - És , generalment animat i molt bonic. És una manera fantàstica de vendre el vostre producte, utilitzada de manera infame per Norse Corp. L'empresa va acabar malament: va resultar que les animacions boniques eren el seu únic avantatge i van utilitzar dades fragmentàries per a l'anàlisi.
Fet amb Leafletjs
Per a aquells que vulguin dissenyar un mapa d'atac per a la pantalla gran del centre d'operacions (al vostre cap li encantarà), hi ha una biblioteca . Ho combinem amb el connector , servei Maxmind GeoIP - .
WTF: què és aquest cowrie honeypot?
Honeypot és un sistema que es col·loca a la xarxa específicament per atraure els atacants. Les connexions al sistema solen ser il·legals i permeten detectar l'atacant mitjançant registres detallats. Els registres emmagatzemen no només informació de connexió habitual, sinó també informació de sessió que revela Tècniques, tàctiques i procediments (TTP) intrús.
creat per Registres de connexió SSH i Telnet. Aquests honeypots sovint es posen a Internet per fer un seguiment de les eines, scripts i amfitrions dels atacants.
El meu missatge a les empreses que pensen que no seran atacades: "Esteu buscant molt".
—James Snook
Què hi ha als registres?
Nombre total de connexions
Hi va haver intents de connexió repetits de molts amfitrions. Això és normal, ja que els scripts d'atac tenen una llista completa de credencials i proveu diverses combinacions. El Cowrie Honeypot està configurat per acceptar determinades combinacions de nom d'usuari i contrasenya. Això està configurat a fitxer user.db.
Geografia dels atacs
Utilitzant les dades de geolocalització de Maxmind, vaig comptar el nombre de connexions de cada país. El Brasil i la Xina lideren amb un ampli marge, i sovint hi ha molt soroll dels escàners procedents d'aquests països.
Propietari del bloc de xarxa
La recerca dels propietaris de blocs de xarxa (ASN) pot identificar organitzacions amb un gran nombre d'amfitrions atacants. Per descomptat, en aquests casos sempre heu de recordar que molts atacs provenen d'amfitrions infectats. És raonable suposar que la majoria dels atacants no són prou estúpids per escanejar la xarxa des d'un ordinador domèstic.
Ports oberts en sistemes atacants (dades de Shodan.io)
Execució de la llista d'IP de manera excel·lent s'identifica ràpidament sistemes amb ports oberts i quins són aquests ports? La figura següent mostra la concentració de ports oberts per país i organització. Seria possible identificar blocs de sistemes compromesos, però dins petita mostra no es veu res destacat, excepte un gran nombre 500 ports oberts a la Xina.
Una troballa interessant és la gran quantitat de sistemes que tenen al Brasil no obert 22, 23 o altres ports, segons Censys i Shodan. Pel que sembla, són connexions des d'ordinadors d'usuari final.
Bots? Innecessari
Dades per als ports 22 i 23 van mostrar quelcom estrany aquell dia. Vaig suposar que la majoria d'exploracions i atacs de contrasenya provenen de robots. L'script s'estén per ports oberts, endevinant contrasenyes i es copia del nou sistema i continua estenent-se utilitzant el mateix mètode.
Però aquí podeu veure que només un nombre reduït d'amfitrions que escanegen telnet tenen el port 23 obert a l'exterior. Això vol dir que els sistemes estan compromesos d'una altra manera o que els atacants estan executant scripts manualment.
Connexions domèstiques
Una altra troballa interessant va ser el gran nombre d'usuaris domèstics de la mostra. Mitjançant l'ús de cerca inversa Vaig identificar 105 connexions d'ordinadors domèstics específics. Per a moltes connexions domèstiques, una cerca de DNS inversa mostra el nom d'amfitrió amb les paraules dsl, home, cable, fibra, etc.
Apreneu i exploreu: aixequeu el vostre propi honeypot
Fa poc vaig escriure un petit tutorial sobre com fer-ho . Com ja s'ha esmentat, en el nostre cas hem utilitzat Digital Ocean VPS a Singapur. Durant 24 hores d'anàlisi, el cost va ser literalment d'uns pocs cèntims i el temps per muntar el sistema va ser de 30 minuts.
En lloc d'executar Cowrie a Internet i captar tot el soroll, podeu beneficiar-vos de honeypot a la vostra xarxa local. Establiu una notificació constantment si s'envien sol·licituds a determinats ports. Es tracta d'un atacant dins de la xarxa, d'un empleat curiós o d'una exploració de vulnerabilitats.
Troballes
Després de veure les accions dels atacants durant un període de XNUMX hores, queda clar que és impossible identificar una font clara d'atacs a qualsevol organització, país o fins i tot sistema operatiu.
L'àmplia distribució de fonts mostra que el soroll d'escaneig és constant i no està associat a una font específica. Qualsevol persona que treballi a Internet ha de garantir que el seu sistema diversos nivells de seguretat. Una solució comuna i eficaç per SSH el servei es traslladarà a un port alt aleatori. Això no elimina la necessitat d'una protecció i un seguiment estrictes de contrasenya, però almenys assegura que els registres no s'obstrueixen per l'exploració constant. És més probable que les connexions de port elevat siguin atacs dirigits, que poden ser del vostre interès.
Sovint, els ports telnet oberts es troben en encaminadors o altres dispositius, de manera que no es poden moure fàcilment a un port alt. и és l'única manera de garantir que aquests serveis estan protegits o desactivats. Si és possible, no hauríeu d'utilitzar Telnet en absolut; aquest protocol no està xifrat. Si el necessiteu i no en podeu prescindir, feu-ne un seguiment atent i utilitzeu contrasenyes fortes.
Font: www.habr.com