Statistiche per 24 ore dopu a stallazione di un honeypot in un node di l'Oceanu Digitale in Singapore
Pew Pew! Cuminciamu subitu cù a mappa di l'attaccu
A nostra mappa super cool mostra l'ASN unichi chì sò cunnessi à u nostru honeypot Cowrie in 24 ore. U giallu currisponde à e cunnessione SSH, è u rossu currisponde à Telnet. Tali animazioni spessu impressionanu u cunsigliu di direzzione di a cumpagnia, chì ponu aiutà à assicurà più finanziamentu per a sicurità è e risorse. Tuttavia, a mappa hà qualchì valore, chì mostra chjaramente a diffusione geografica è organizativa di e fonti di attaccu nantu à u nostru òspite in solu 24 ore. L'animazione ùn riflette micca a quantità di trafficu da ogni fonte.
Cosa hè una mappa Pew Pew?
Mappa di Pew Pew Is , di solitu animatu è assai bellu. Hè una manera fantastica di vende u vostru pruduttu, infame utilizatu da Norse Corp. A cumpagnia hà finitu male: hè stata chì bella animazione era u so solu vantaghju, è anu utilizatu dati frammentarii per l'analisi.
Fattu cù Leafletjs
Per quelli chì volenu disignà una mappa d'attaccu per a grande schermu in u centru di l'operazioni (u vostru capu li piacerà), ci hè una biblioteca. . Avemu cumminatu cù u plugin , serviziu Maxmind GeoIP - .
WTF: chì hè questu honeypot Cowrie?
Honeypot hè un sistema chì hè situatu nantu à a reta specificamente per attirà l'attaccanti. I cunnessione à u sistema sò generalmente illegale è permettenu di detectà l'attaccu cù logs detallati. I logs guardanu micca solu l'infurmazioni di cunnessione regulare, ma ancu l'infurmazioni di sessione chì revelanu tecniche, tattiche è prucedure (TTP) intrus.
creatu per I registri di cunnessione SSH è Telnet. Tali honeypots sò spessu posti in Internet per seguità l'arnesi, i scripts è l'ospiti di l'attaccanti.
U mo missaghju à l'imprese chì pensanu chì ùn saranu micca attaccati: "Avete cercatu duru".
- Ghjacumu Snook
Chì ci hè in i logs ?
U numeru tutale di cunnessione
Ci sò stati ripetuti tentativi di cunnessione da parechji ospiti. Questu hè normale, postu chì i script d'attaccu anu una lista completa di credenziali è pruvate parechje cumminazzioni. U Cowrie Honeypot hè cunfiguratu per accettà certe combinazioni di nome d'utilizatore è password. Questu hè cunfiguratu in u schedariu user.db.
Geografia di l'attacchi
Utilizendu i dati di geolocation Maxmind, aghju cuntatu u numeru di cunnessione da ogni paese. U Brasile è a Cina guidanu da un largu margine, è ci hè spessu assai rumore da i scanners chì venenu da questi paesi.
U pruprietariu di u bloccu di a rete
A ricerca di i pruprietarii di i blocchi di rete (ASN) ponu identificà l'urganisazione cù un gran numaru d'ospiti attaccanti. Di sicuru, in tali casi, duvete sempre ricurdà chì parechji attacchi venenu da ospiti infettati. Hè ragiunate per suppone chì a maiò parte di l'attaccanti ùn sò micca abbastanza stupidi per scansà a Rete da un computer di casa.
Porti aperti nantu à i sistemi attaccanti (dati da Shodan.io)
Esecuzione di a lista di l'IP attraversu eccellente identifica rapidamente sistemi cù porti aperti è chì sò sti porti ? A figura sottu mostra a cuncentrazione di porti aperti per paese è urganizazione. Saria pussibule identificà blocchi di sistemi cumprumessi, ma ind'è picculu campionu nunda eccezziunale hè visibile, fora di un gran numaru 500 porti aperti in Cina.
Una scuperta interessante hè u gran numaru di sistemi in Brasile chì anu micca apertu 22, 23 o altri porti, secondu Censys è Shodan. Apparentemente si tratta di cunnessione da l'urdinatori di l'utilizatori finali.
Bots? Ùn hè micca necessariu
dati per i porti 22 è 23 anu dimustratu qualcosa di stranu quellu ghjornu. Aghju assumitu chì a maiò parte di scans è attacchi di password venenu da bots. U script si sparghje nantu à i porti aperti, guessing password, è si copia da u novu sistema è cuntinueghja à sparghje cù u stessu metudu.
Ma quì pudete vede chì solu un picculu numeru di hosts scanning telnet anu u portu apertu à l'esternu 23. Questu significa chì i sistemi sò o cumprumessi in qualchì altru modu, o l'attaccanti sò scritti manualmente.
Cunnessioni in casa
Un altru scupertu interessante era u gran numaru d'utilizatori di casa in u sample. Utilizendu ricerca inversa Aghju identificatu 105 cunnessione da l'urdinatori di casa specifichi. Per parechje cunnessione di casa, una ricerca DNS inversa mostra u nome d'ospitu cù e parolle dsl, casa, cable, fibra, etc.
Amparate è Esplora: Cresce u vostru propiu Honeypot
Recentemente aghju scrittu un breve tutoriale nantu à cumu fà . Comu digià dettu, in u nostru casu avemu usatu Digital Ocean VPS in Singapore. Per 24 ore di analisi, u costu era literalmente uni pochi di centesimi, è u tempu per assemblà u sistema era di 30 minuti.
Invece di eseguisce Cowrie in Internet è catturà tuttu u rumore, pudete prufittà di honeypot in a vostra reta lucale. Stabilite constantemente una notificazione se e dumande sò mandate à certi porti. Questu hè o un attaccu in a reta, o un impiegatu curiosu, o una scansione di vulnerabilità.
scuperti
Dopu avè vistu l'azzioni di l'attaccanti annantu à un periodu di XNUMX ore, diventa chjaru chì hè impussibile di identificà una fonte clara di attacchi in ogni urganizazione, paese, o ancu sistema operatore.
A larga distribuzione di fonti mostra chì u rumore di scan hè custanti è micca assuciatu cù una fonte specifica. Qualchese chì travaglia in Internet deve assicurà chì u so sistema parechji livelli di sicurità. Una suluzione cumuna è efficace per SSH u serviziu si move in un portu altu aleatoriu. Questu ùn elimina micca a necessità di una prutezzione strettu di password è u monitoraghju, ma almenu assicura chì i logs ùn sò micca ostruiti da scanning constante. I cunnessione di u portu altu sò più prubabile di esse attacchi mirati, chì ponu esse d'interessu per voi.
Spessu i porti telnet aperti sò nantu à i routers o altri dispositi, perchè ùn ponu micca esse facilmente spustati in un portu altu. и hè l'unicu modu per assicurà chì sti servizii sò firewalled o disattivati. Sè pussibule, ùn deve micca aduprà Telnet in tuttu; stu protokollu ùn hè micca criptatu. Sè avete bisognu è ùn pò micca fà senza ellu, allora cuntrollà cù cura è utilizate password forti.
Source: www.habr.com