Statistiky za 24 hodin po instalaci honeypotu na uzel Digital Ocean v Singapuru
Pew Pew! Začněme rovnou s mapou útoku
Naše super cool mapa ukazuje jedinečná ASN, která se připojila k našemu Honeypotu Cowrie do 24 hodin. Žlutá odpovídá připojení SSH a červená odpovídá Telnetu. Takové animace často zapůsobí na představenstvo společnosti, které může pomoci zajistit více finančních prostředků na zabezpečení a zdroje. Mapa však má určitou hodnotu, jasně ukazuje geografické a organizační rozložení zdrojů útoku na našeho hostitele za pouhých 24 hodin. Animace neodráží objem provozu z jednotlivých zdrojů.
Co je mapa Pew Pew?
Pew Pew mapa - Je
Vyrobeno pomocí Leafletjs
Pro ty, kteří chtějí navrhnout mapu útoku pro velkou obrazovku v operačním centru (váš šéf to bude milovat), je zde knihovna
WTF: co je to za medovník Cowrie?
Honeypot je systém, který je umístěn na síti speciálně k nalákání útočníků. Připojení k systému jsou obvykle nelegální a umožňují odhalit útočníka pomocí podrobných protokolů. Protokoly ukládají nejen informace o běžném připojení, ale také informace o relaci, které odhalují techniky, taktiky a postupy (TTP) vetřelec.
Můj vzkaz firmám, které si myslí, že na ně nikdo neútočí: "Hledáš usilovně."
— James Snook
Co je v protokolech?
Celkový počet připojení
Došlo k opakovaným pokusům o připojení od mnoha hostitelů. To je normální, protože útočné skripty mají úplný seznam pověření a vyzkoušejí několik kombinací. Cowrie Honeypot je nakonfigurován tak, aby přijímal určité kombinace uživatelských jmen a hesel. Toto je nakonfigurováno v soubor user.db.
Geografie útoků
Pomocí geolokačních dat Maxmind jsem spočítal počet spojení z jednotlivých zemí. Brazílie a Čína vedou s velkým náskokem a ze skenerů přicházejících z těchto zemí je často slyšet velký hluk.
Vlastník síťového bloku
Průzkum vlastníků síťových bloků (ASN) může identifikovat organizace s velkým počtem útočících hostitelů. Samozřejmě byste v takových případech měli vždy pamatovat na to, že mnoho útoků pochází od infikovaných hostitelů. Je rozumné předpokládat, že většina útočníků není tak hloupá, aby skenovala síť z domácího počítače.
Otevřené porty na útočících systémech (data z Shodan.io)
Spuštění seznamu IP na výbornou
Zajímavým zjištěním je velké množství systémů v Brazílii, které mají neotevřeno 22, 23 nebo další porty, podle Censys a Shodan. Zřejmě se jedná o připojení z počítačů koncových uživatelů.
roboti? Není nezbytné
Data
Zde ale vidíte, že jen malý počet hostitelů skenujících telnet má ven otevřený port 23. To znamená, že systémy jsou buď kompromitovány nějakým jiným způsobem, nebo útočníci spouštějí skripty ručně.
Domácí přípojky
Dalším zajímavým zjištěním byl velký počet domácích uživatelů ve vzorku. Používáním zpětné vyhledávání Identifikoval jsem 105 připojení z konkrétních domácích počítačů. U mnoha domácích připojení zobrazí zpětné vyhledávání DNS název hostitele se slovy dsl, home, cable, fiber atd.
Učte se a prozkoumávejte: Postavte si svůj vlastní medovník
Nedávno jsem napsal krátký návod, jak na to
Místo spouštění Cowrie na internetu a zachycování veškerého hluku můžete těžit z honeypotu ve vaší místní síti. Neustále nastavit upozornění, pokud jsou požadavky zasílány na určité porty. Jedná se buď o útočníka uvnitř sítě, nebo o zvědavého zaměstnance, nebo o skenování zranitelnosti.
Závěry
Po zhlédnutí akcí útočníků v průběhu XNUMX hodin je jasné, že není možné identifikovat jasný zdroj útoků v jakékoli organizaci, zemi nebo dokonce operačním systému.
Široká distribuce zdrojů ukazuje, že šum skenování je konstantní a nesouvisí s konkrétním zdrojem. Každý, kdo pracuje na internetu, musí zajistit, aby jeho systém několik úrovní zabezpečení. Běžné a efektivní řešení pro SSH služba se přesune na náhodně vysoký port. Tím sice není eliminována nutnost přísné ochrany heslem a monitorování, ale alespoň je zajištěno, že se logy neustálým skenováním nezanášejí. U připojení s vysokým portem je pravděpodobnější, že se jedná o cílené útoky, které vás mohou zajímat.
Otevřené porty telnet jsou často na směrovačích nebo jiných zařízeních, takže je nelze snadno přesunout na vyšší port.
Zdroj: www.habr.com