Statistiche per 24 ore dopu a stallazione di un honeypot in un node di l'Oceanu Digitale in Singapore
Pew Pew! Cuminciamu subitu cù a mappa di l'attaccu
A nostra mappa super cool mostra l'ASN unichi chì sò cunnessi à u nostru honeypot Cowrie in 24 ore. U giallu currisponde à e cunnessione SSH, è u rossu currisponde à Telnet. Tali animazioni spessu impressionanu u cunsigliu di direzzione di a cumpagnia, chì ponu aiutà à assicurà più finanziamentu per a sicurità è e risorse. Tuttavia, a mappa hà qualchì valore, chì mostra chjaramente a diffusione geografica è organizativa di e fonti di attaccu nantu à u nostru òspite in solu 24 ore. L'animazione ùn riflette micca a quantità di trafficu da ogni fonte.
Cosa hè una mappa Pew Pew?
Mappa di Pew Pew Is
Fattu cù Leafletjs
Per quelli chì volenu disignà una mappa d'attaccu per a grande schermu in u centru di l'operazioni (u vostru capu li piacerà), ci hè una biblioteca.
WTF: chì hè questu honeypot Cowrie?
Honeypot hè un sistema chì hè situatu nantu à a reta specificamente per attirà l'attaccanti. I cunnessione à u sistema sò generalmente illegale è permettenu di detectà l'attaccu cù logs detallati. I logs guardanu micca solu l'infurmazioni di cunnessione regulare, ma ancu l'infurmazioni di sessione chì revelanu tecniche, tattiche è prucedure (TTP) intrus.
U mo missaghju à l'imprese chì pensanu chì ùn saranu micca attaccati: "Avete cercatu duru".
- Ghjacumu Snook
Chì ci hè in i logs ?
U numeru tutale di cunnessione
Ci sò stati ripetuti tentativi di cunnessione da parechji ospiti. Questu hè normale, postu chì i script d'attaccu anu una lista completa di credenziali è pruvate parechje cumminazzioni. U Cowrie Honeypot hè cunfiguratu per accettà certe combinazioni di nome d'utilizatore è password. Questu hè cunfiguratu in u schedariu user.db.
Geografia di l'attacchi
Utilizendu i dati di geolocation Maxmind, aghju cuntatu u numeru di cunnessione da ogni paese. U Brasile è a Cina guidanu da un largu margine, è ci hè spessu assai rumore da i scanners chì venenu da questi paesi.
U pruprietariu di u bloccu di a rete
A ricerca di i pruprietarii di i blocchi di rete (ASN) ponu identificà l'urganisazione cù un gran numaru d'ospiti attaccanti. Di sicuru, in tali casi, duvete sempre ricurdà chì parechji attacchi venenu da ospiti infettati. Hè ragiunate per suppone chì a maiò parte di l'attaccanti ùn sò micca abbastanza stupidi per scansà a Rete da un computer di casa.
Porti aperti nantu à i sistemi attaccanti (dati da Shodan.io)
Esecuzione di a lista di l'IP attraversu eccellente
Una scuperta interessante hè u gran numaru di sistemi in Brasile chì anu micca apertu 22, 23 o altri porti, secondu Censys è Shodan. Apparentemente si tratta di cunnessione da l'urdinatori di l'utilizatori finali.
Bots? Ùn hè micca necessariu
dati
Ma quì pudete vede chì solu un picculu numeru di hosts scanning telnet anu u portu apertu à l'esternu 23. Questu significa chì i sistemi sò o cumprumessi in qualchì altru modu, o l'attaccanti sò scritti manualmente.
Cunnessioni in casa
Un altru scupertu interessante era u gran numaru d'utilizatori di casa in u sample. Utilizendu ricerca inversa Aghju identificatu 105 cunnessione da l'urdinatori di casa specifichi. Per parechje cunnessione di casa, una ricerca DNS inversa mostra u nome d'ospitu cù e parolle dsl, casa, cable, fibra, etc.
Amparate è Esplora: Cresce u vostru propiu Honeypot
Recentemente aghju scrittu un breve tutoriale nantu à cumu fà
Invece di eseguisce Cowrie in Internet è catturà tuttu u rumore, pudete prufittà di honeypot in a vostra reta lucale. Stabilite constantemente una notificazione se e dumande sò mandate à certi porti. Questu hè o un attaccu in a reta, o un impiegatu curiosu, o una scansione di vulnerabilità.
scuperti
Dopu avè vistu l'azzioni di l'attaccanti annantu à un periodu di XNUMX ore, diventa chjaru chì hè impussibile di identificà una fonte clara di attacchi in ogni urganizazione, paese, o ancu sistema operatore.
A larga distribuzione di fonti mostra chì u rumore di scan hè custanti è micca assuciatu cù una fonte specifica. Qualchese chì travaglia in Internet deve assicurà chì u so sistema parechji livelli di sicurità. Una suluzione cumuna è efficace per SSH u serviziu si move in un portu altu aleatoriu. Questu ùn elimina micca a necessità di una prutezzione strettu di password è u monitoraghju, ma almenu assicura chì i logs ùn sò micca ostruiti da scanning constante. I cunnessione di u portu altu sò più prubabile di esse attacchi mirati, chì ponu esse d'interessu per voi.
Spessu i porti telnet aperti sò nantu à i routers o altri dispositi, perchè ùn ponu micca esse facilmente spustati in un portu altu.
Source: www.habr.com