Statistiky za 24 hodin po instalaci honeypotu na uzel Digital Ocean v Singapuru
Pew Pew! Začněme rovnou s mapou útoku
Naše super cool mapa ukazuje jedinečná ASN, která se připojila k našemu Honeypotu Cowrie do 24 hodin. Žlutá odpovídá připojení SSH a červená odpovídá Telnetu. Takové animace často zapůsobí na představenstvo společnosti, které může pomoci zajistit více finančních prostředků na zabezpečení a zdroje. Mapa však má určitou hodnotu, jasně ukazuje geografické a organizační rozložení zdrojů útoku na našeho hostitele za pouhých 24 hodin. Animace neodráží objem provozu z jednotlivých zdrojů.
Co je mapa Pew Pew?
Pew Pew mapa - Je , obvykle animované a velmi krásné. Je to skvělý způsob, jak prodat svůj produkt, neslavně používaný společností Norse Corp. Společnost skončila špatně: ukázalo se, že krásné animace byly jejich jedinou výhodou a k analýze použili fragmentární data.
Vyrobeno pomocí Leafletjs
Pro ty, kteří chtějí navrhnout mapu útoku pro velkou obrazovku v operačním centru (váš šéf to bude milovat), je zde knihovna . Kombinujeme to s pluginem , Maxmind GeoIP služba - .
WTF: co je to za medovník Cowrie?
Honeypot je systém, který je umístěn na síti speciálně k nalákání útočníků. Připojení k systému jsou obvykle nelegální a umožňují odhalit útočníka pomocí podrobných protokolů. Protokoly ukládají nejen informace o běžném připojení, ale také informace o relaci, které odhalují techniky, taktiky a postupy (TTP) vetřelec.
vytvořeno pro Záznamy připojení SSH a Telnet. Takové honeypoty se často umisťují na internet ke sledování nástrojů, skriptů a hostitelů útočníků.
Můj vzkaz firmám, které si myslí, že na ně nikdo neútočí: "Hledáš usilovně."
— James Snook
Co je v protokolech?
Celkový počet připojení
Došlo k opakovaným pokusům o připojení od mnoha hostitelů. To je normální, protože útočné skripty mají úplný seznam pověření a vyzkoušejí několik kombinací. Cowrie Honeypot je nakonfigurován tak, aby přijímal určité kombinace uživatelských jmen a hesel. Toto je nakonfigurováno v soubor user.db.
Geografie útoků
Pomocí geolokačních dat Maxmind jsem spočítal počet spojení z jednotlivých zemí. Brazílie a Čína vedou s velkým náskokem a ze skenerů přicházejících z těchto zemí je často slyšet velký hluk.
Vlastník síťového bloku
Průzkum vlastníků síťových bloků (ASN) může identifikovat organizace s velkým počtem útočících hostitelů. Samozřejmě byste v takových případech měli vždy pamatovat na to, že mnoho útoků pochází od infikovaných hostitelů. Je rozumné předpokládat, že většina útočníků není tak hloupá, aby skenovala síť z domácího počítače.
Otevřené porty na útočících systémech (data z Shodan.io)
Spuštění seznamu IP na výbornou rychle identifikuje systémy s otevřenými porty a co jsou to za porty? Níže uvedený obrázek ukazuje koncentraci otevřených přístavů podle země a organizace. Bylo by možné identifikovat bloky kompromitovaných systémů, ale uvnitř malý vzorek není vidět nic výjimečného, kromě velkého počtu 500 otevřených přístavů v Číně.
Zajímavým zjištěním je velké množství systémů v Brazílii, které mají neotevřeno 22, 23 nebo další porty, podle Censys a Shodan. Zřejmě se jedná o připojení z počítačů koncových uživatelů.
roboti? Není nezbytné
Data u portů 22 a 23 ten den ukázali něco divného. Předpokládal jsem, že většina skenů a útoků na hesla pochází od robotů. Skript se šíří přes otevřené porty, hádá hesla a zkopíruje se z nového systému a pokračuje v šíření pomocí stejné metody.
Zde ale vidíte, že jen malý počet hostitelů skenujících telnet má ven otevřený port 23. To znamená, že systémy jsou buď kompromitovány nějakým jiným způsobem, nebo útočníci spouštějí skripty ručně.
Domácí přípojky
Dalším zajímavým zjištěním byl velký počet domácích uživatelů ve vzorku. Používáním zpětné vyhledávání Identifikoval jsem 105 připojení z konkrétních domácích počítačů. U mnoha domácích připojení zobrazí zpětné vyhledávání DNS název hostitele se slovy dsl, home, cable, fiber atd.
Učte se a prozkoumávejte: Postavte si svůj vlastní medovník
Nedávno jsem napsal krátký návod, jak na to . Jak již bylo zmíněno, v našem případě jsme použili Digital Ocean VPS v Singapuru. Za 24 hodin analýzy byly náklady doslova pár centů a doba sestavení systému byla 30 minut.
Místo spouštění Cowrie na internetu a zachycování veškerého hluku můžete těžit z honeypotu ve vaší místní síti. Neustále nastavit upozornění, pokud jsou požadavky zasílány na určité porty. Jedná se buď o útočníka uvnitř sítě, nebo o zvědavého zaměstnance, nebo o skenování zranitelnosti.
Závěry
Po zhlédnutí akcí útočníků v průběhu XNUMX hodin je jasné, že není možné identifikovat jasný zdroj útoků v jakékoli organizaci, zemi nebo dokonce operačním systému.
Široká distribuce zdrojů ukazuje, že šum skenování je konstantní a nesouvisí s konkrétním zdrojem. Každý, kdo pracuje na internetu, musí zajistit, aby jeho systém několik úrovní zabezpečení. Běžné a efektivní řešení pro SSH služba se přesune na náhodně vysoký port. Tím sice není eliminována nutnost přísné ochrany heslem a monitorování, ale alespoň je zajištěno, že se logy neustálým skenováním nezanášejí. U připojení s vysokým portem je pravděpodobnější, že se jedná o cílené útoky, které vás mohou zajímat.
Otevřené porty telnet jsou často na směrovačích nebo jiných zařízeních, takže je nelze snadno přesunout na vyšší port. и je jediný způsob, jak zajistit, aby tyto služby byly chráněny firewallem nebo zakázány. Pokud je to možné, neměli byste Telnet vůbec používat, tento protokol není šifrovaný. Pokud ji potřebujete a nemůžete se bez ní obejít, pečlivě ji sledujte a používejte silná hesla.
Zdroj: www.habr.com