ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Pagtuki sa mga pag-atake sa honeypot Cowrie

Pagtuki sa mga pag-atake sa honeypot Cowrie

Estadistika sulod sa 24 ka oras human sa pagbutang ug honeypot sa Digital Ocean node sa Singapore

Pew Pew! Magsugod ta dayon sa mapa sa pag-atake

Ang among super cool nga mapa nagpakita sa talagsaon nga mga ASN nga konektado sa among Cowrie honeypot sulod sa 24 oras. Ang yellow katumbas sa mga koneksyon sa SSH, ug pula ang katumbas sa Telnet. Ang ingon nga mga animation kanunay nga nakadayeg sa board of directors sa kompanya, nga makatabang sa pagsiguro sa dugang nga pondo alang sa seguridad ug mga kapanguhaan. Bisan pa, ang mapa adunay gamay nga kantidad, klaro nga nagpakita sa geographic ug organisasyonal nga pagkaylap sa mga gigikanan sa pag-atake sa among host sa 24 oras lang. Ang animation wala magpakita sa gidaghanon sa trapiko gikan sa matag tinubdan.

Unsa ang mapa sa Pew Pew?

Mapa sa Pew Pew Mao ba visualization sa mga pag-atake sa cyber, kasagaran animated ug nindot kaayo. Kini usa ka nindot nga paagi sa pagbaligya sa imong produkto, nga gigamit sa Norse Corp. Ang kompanya natapos nga dili maayo: kini nahimo nga ang matahum nga mga animation mao ra ang ilang bentaha, ug gigamit nila ang tipik nga datos alang sa pag-analisar.

Gihimo gamit ang Leafletjs

Alang niadtong gusto nga magdesinyo og mapa sa pag-atake alang sa dako nga screen sa operations center (gusto kini sa imong boss), adunay librarya. leafletjs. Gihiusa namon kini sa plugin layer sa paglalin sa leaflet, serbisyo sa Maxmind GeoIP - ug nahuman.

Pagtuki sa mga pag-atake sa honeypot Cowrie

WTF: unsa man ning Cowrie honeypot?

Ang Honeypot usa ka sistema nga gibutang sa network ilabi na sa pagdani sa mga tig-atake. Ang mga koneksyon sa sistema kasagarang ilegal ug gitugotan ka nga makit-an ang tig-atake gamit ang detalyado nga mga troso. Ang mga troso nagtipig dili lamang sa regular nga impormasyon sa koneksyon, kondili usab sa impormasyon sa sesyon nga nagpadayag Mga teknik, taktika ug pamaagi (TTP) manghilabot.

Honeypot Cowrie gihimo alang sa Mga rekord sa koneksyon sa SSH ug Telnet. Ang ingon nga mga honeypot kanunay nga gibutang sa Internet aron masubay ang mga himan, script ug host sa mga tig-atake.

Ang akong mensahe sa mga kompanya nga naghunahuna nga dili sila atakehon: "Nagtan-aw ka pag-ayo."
β€” James Snook

Pagtuki sa mga pag-atake sa honeypot Cowrie

Unsa ang naa sa mga troso?

Total nga gidaghanon sa mga koneksyon

Adunay gibalikbalik nga pagsulay sa koneksyon gikan sa daghang mga host. Normal kini, tungod kay ang mga script sa pag-atake adunay usa ka kompleto nga lista sa mga kredensyal ug pagsulay sa daghang mga kombinasyon. Ang Cowrie Honeypot gi-configure aron dawaton ang piho nga mga kombinasyon sa username ug password. Gi-configure kini sa user.db file.

Pagtuki sa mga pag-atake sa honeypot Cowrie

Heyograpiya sa mga pag-atake

Gamit ang Maxmind geolocation data, giihap nako ang gidaghanon sa mga koneksyon gikan sa matag nasud. Ang Brazil ug China nanguna sa usa ka halapad nga margin, ug kanunay adunay daghang kasaba gikan sa mga scanner nga gikan sa kini nga mga nasud.

Pagtuki sa mga pag-atake sa honeypot Cowrie

Tag-iya sa network block

Ang pagpanukiduki sa mga tag-iya sa network blocks (ASN) mahimong makaila sa mga organisasyon nga adunay daghang mga nag-atake nga mga host. Siyempre, sa ingon nga mga kaso kinahanglan nimong hinumdoman kanunay nga daghang mga pag-atake gikan sa mga nataptan nga host. Makatarunganon nga hunahunaon nga kadaghanan sa mga tig-atake dili igo nga hungog aron ma-scan ang Network gikan sa usa ka kompyuter sa balay.

Pagtuki sa mga pag-atake sa honeypot Cowrie

Ablihi ang mga pantalan sa mga sistema sa pag-atake (data gikan sa Shodan.io)

Pagpadagan sa listahan sa IP pinaagi sa maayo kaayo Shodan API dali nga nagpaila mga sistema nga adunay bukas nga mga pantalan ug unsa kini nga mga pantalan? Ang numero sa ubos nagpakita sa konsentrasyon sa bukas nga mga pantalan sa nasud ug organisasyon. Posible nga mailhan ang mga bloke sa mga nakompromiso nga sistema, apan sa sulod gamay nga sample walay outstanding nga makita, gawas sa usa ka dako nga gidaghanon 500 ka bukas nga mga pantalan sa China.

Ang usa ka makapaikag nga pagpangita mao ang daghang mga sistema sa Brazil nga adunay dili bukas 22, 23 o ubang mga pantalan, sumala sa Censys ug Shodan. Dayag nga kini mga koneksyon gikan sa mga kompyuter sa end user.

Pagtuki sa mga pag-atake sa honeypot Cowrie

Mga bot? Dili kinahanglan

data Censys para sa mga pantalan 22 ug 23 nagpakita sila ug butang nga katingad-an niadtong adlawa. Nagtuo ko nga kadaghanan sa mga pag-scan ug pag-atake sa password gikan sa mga bot. Ang script mikaylap sa bukas nga mga pantalan, pagtag-an sa mga password, ug pagkopya sa kaugalingon gikan sa bag-ong sistema ug nagpadayon sa pagkaylap gamit ang parehas nga pamaagi.

Apan dinhi imong makita nga gamay ra nga gidaghanon sa mga host nga nag-scan sa telnet adunay port 23 nga bukas sa gawas. Kini nagpasabut nga ang mga sistema mahimo’g makompromiso sa lain nga paagi, o ang mga tig-atake nagdagan sa mga script nga mano-mano.

Pagtuki sa mga pag-atake sa honeypot Cowrie

Mga koneksyon sa balay

Ang laing makapaikag nga pagpangita mao ang daghang gidaghanon sa mga tiggamit sa balay sa sample. Pinaagi sa paggamit balik nga pagpangita Giila nako ang 105 ka koneksyon gikan sa piho nga mga kompyuter sa balay. Alang sa daghang mga koneksyon sa balay, ang usa ka reverse DNS lookup nagpakita sa hostname nga adunay mga pulong nga dsl, balay, cable, fiber, ug uban pa.

Pagtuki sa mga pag-atake sa honeypot Cowrie

Pagkat-on ug Pag-usisa: Ipataas ang Imong Kaugalingong Honeypot

Bag-ohay lang nagsulat ako usa ka mubo nga panudlo kung giunsa i-install ang Cowrie honeypot sa imong sistema. Sama sa nahisgutan na, sa among kaso gigamit namon ang Digital Ocean VPS sa Singapore. Alang sa 24 ka oras nga pagtuki, ang gasto literal nga pipila ka sentimo, ug ang oras sa pag-assemble sa sistema 30 minuto.

Imbis nga ipadagan ang Cowrie sa internet ug makuha ang tanan nga kasaba, makabenepisyo ka gikan sa honeypot sa imong lokal nga network. Kanunay nga magbutang usa ka pahibalo kung ang mga hangyo ipadala sa pipila nga mga pantalan. Kini usa ka tig-atake sa sulod sa network, o usa ka kuryuso nga empleyado, o usa ka pag-scan sa pagkahuyang.

kaplag

Human sa pagtan-aw sa mga aksyon sa mga tig-atake sulod sa XNUMX-oras nga yugto, kini nahimong tin-aw nga imposible sa pag-ila sa usa ka tin-aw nga tinubdan sa mga pag-atake sa bisan unsa nga organisasyon, nasud, o bisan operating system.

Ang halapad nga pag-apod-apod sa mga tinubdan nagpakita nga ang kasaba sa pag-scan kanunay ug wala'y kalabutan sa usa ka piho nga gigikanan. Bisan kinsa nga nagtrabaho sa Internet kinahanglan nga masiguro nga ang ilang sistema daghang lebel sa seguridad. Usa ka komon ug epektibo nga solusyon alang sa SSH ang serbisyo mobalhin sa usa ka random nga taas nga pantalan. Dili kini magwagtang sa panginahanglan alang sa estrikto nga pagpanalipod sa password ug pag-monitor, apan labing menos nagsiguro nga ang mga troso dili mabara pinaagi sa kanunay nga pag-scan. Ang taas nga mga koneksyon sa pantalan mas lagmit nga gipunting nga mga pag-atake, nga mahimo’g makapainteres kanimo.

Kasagaran ang mga bukas nga telnet port naa sa mga router o uban pang mga aparato, aron dili kini dali mabalhin sa taas nga pantalan. Impormasyon bahin sa tanan nga bukas nga mga pantalan ΠΈ pag-atake sa nawong mao ang bugtong paagi aron masiguro nga kini nga mga serbisyo na-firewall o na-disable. Kung mahimo, dili gyud nimo gamiton ang Telnet; kini nga protocol wala gi-encrypt. Kung kinahanglan nimo kini ug dili nimo mahimo kung wala kini, nan pag-monitor pag-ayo ug gamita ang lig-on nga mga password.

Source: www.habr.com

Idugang sa usa ka comment