Estadístiques durant 24 hores després d'instal·lar un honeypot en un node de l'oceà digital a Singapur
Pew Pew! Comencem de seguida amb el mapa d'atac
El nostre mapa fantàstic mostra els ASN únics que es van connectar al nostre pot de mel Cowrie en 24 hores. El groc correspon a connexions SSH i el vermell correspon a Telnet. Aquestes animacions sovint impressionen el consell d'administració de l'empresa, cosa que pot ajudar a obtenir més finançament per a la seguretat i els recursos. Tanmateix, el mapa té algun valor, mostrant clarament la propagació geogràfica i organitzativa de les fonts d'atac al nostre amfitrió en només 24 hores. L'animació no reflecteix la quantitat de trànsit de cada font.
Què és un mapa de Pew Pew?
Mapa de Pew Pew - És
Fet amb Leafletjs
Per a aquells que vulguin dissenyar un mapa d'atac per a la pantalla gran del centre d'operacions (al vostre cap li encantarà), hi ha una biblioteca
WTF: què és aquest cowrie honeypot?
Honeypot és un sistema que es col·loca a la xarxa específicament per atraure els atacants. Les connexions al sistema solen ser il·legals i permeten detectar l'atacant mitjançant registres detallats. Els registres emmagatzemen no només informació de connexió habitual, sinó també informació de sessió que revela Tècniques, tàctiques i procediments (TTP) intrús.
El meu missatge a les empreses que pensen que no seran atacades: "Esteu buscant molt".
—James Snook
Què hi ha als registres?
Nombre total de connexions
Hi va haver intents de connexió repetits de molts amfitrions. Això és normal, ja que els scripts d'atac tenen una llista completa de credencials i proveu diverses combinacions. El Cowrie Honeypot està configurat per acceptar determinades combinacions de nom d'usuari i contrasenya. Això està configurat a fitxer user.db.
Geografia dels atacs
Utilitzant les dades de geolocalització de Maxmind, vaig comptar el nombre de connexions de cada país. El Brasil i la Xina lideren amb un ampli marge, i sovint hi ha molt soroll dels escàners procedents d'aquests països.
Propietari del bloc de xarxa
La recerca dels propietaris de blocs de xarxa (ASN) pot identificar organitzacions amb un gran nombre d'amfitrions atacants. Per descomptat, en aquests casos sempre heu de recordar que molts atacs provenen d'amfitrions infectats. És raonable suposar que la majoria dels atacants no són prou estúpids per escanejar la xarxa des d'un ordinador domèstic.
Ports oberts en sistemes atacants (dades de Shodan.io)
Execució de la llista d'IP de manera excel·lent
Una troballa interessant és la gran quantitat de sistemes que tenen al Brasil no obert 22, 23 o altres ports, segons Censys i Shodan. Pel que sembla, són connexions des d'ordinadors d'usuari final.
Bots? Innecessari
Dades
Però aquí podeu veure que només un nombre reduït d'amfitrions que escanegen telnet tenen el port 23 obert a l'exterior. Això vol dir que els sistemes estan compromesos d'una altra manera o que els atacants estan executant scripts manualment.
Connexions domèstiques
Una altra troballa interessant va ser el gran nombre d'usuaris domèstics de la mostra. Mitjançant l'ús de cerca inversa Vaig identificar 105 connexions d'ordinadors domèstics específics. Per a moltes connexions domèstiques, una cerca de DNS inversa mostra el nom d'amfitrió amb les paraules dsl, home, cable, fibra, etc.
Apreneu i exploreu: aixequeu el vostre propi honeypot
Fa poc vaig escriure un petit tutorial sobre com fer-ho
En lloc d'executar Cowrie a Internet i captar tot el soroll, podeu beneficiar-vos de honeypot a la vostra xarxa local. Establiu una notificació constantment si s'envien sol·licituds a determinats ports. Es tracta d'un atacant dins de la xarxa, d'un empleat curiós o d'una exploració de vulnerabilitats.
Troballes
Després de veure les accions dels atacants durant un període de XNUMX hores, queda clar que és impossible identificar una font clara d'atacs a qualsevol organització, país o fins i tot sistema operatiu.
L'àmplia distribució de fonts mostra que el soroll d'escaneig és constant i no està associat a una font específica. Qualsevol persona que treballi a Internet ha de garantir que el seu sistema diversos nivells de seguretat. Una solució comuna i eficaç per SSH el servei es traslladarà a un port alt aleatori. Això no elimina la necessitat d'una protecció i un seguiment estrictes de contrasenya, però almenys assegura que els registres no s'obstrueixen per l'exploració constant. És més probable que les connexions de port elevat siguin atacs dirigits, que poden ser del vostre interès.
Sovint, els ports telnet oberts es troben en encaminadors o altres dispositius, de manera que no es poden moure fàcilment a un port alt.
Font: www.habr.com