Ystadegau am 24 awr ar ôl gosod pot mêl ar nod Cefnfor Digidol yn Singapore
Pew Pew! Gadewch i ni ddechrau ar unwaith gyda'r map ymosodiad
Mae ein map hynod o cŵl yn dangos yr ASNs unigryw a gysylltodd â'n pot mêl Cowrie o fewn 24 awr. Mae melyn yn cyfateb i gysylltiadau SSH, ac mae coch yn cyfateb i Telnet. Mae animeiddiadau o'r fath yn aml yn gwneud argraff ar fwrdd cyfarwyddwyr y cwmni, a all helpu i sicrhau mwy o arian ar gyfer diogelwch ac adnoddau. Fodd bynnag, mae rhywfaint o werth i'r map, sy'n dangos yn glir lledaeniad daearyddol a sefydliadol ffynonellau ymosod ar ein gwesteiwr mewn dim ond 24 awr. Nid yw'r animeiddiad yn adlewyrchu faint o draffig o bob ffynhonnell.
Beth yw map Pew Pew?
Map Pew Pew - A yw
Wedi ei Wneud â Thaflenjs
I'r rhai sydd am ddylunio map ymosodiad ar gyfer y sgrin fawr yn y ganolfan weithrediadau (bydd eich rheolwr wrth ei fodd), mae yna lyfrgell
WTF: beth yw'r pot mêl Cowrie hwn?
Mae Honeypot yn system sy'n cael ei gosod ar y rhwydwaith yn benodol i ddenu ymosodwyr. Mae cysylltiadau â'r system fel arfer yn anghyfreithlon ac yn caniatáu ichi ganfod yr ymosodwr gan ddefnyddio logiau manwl. Mae logiau nid yn unig yn storio gwybodaeth gysylltiad rheolaidd, ond hefyd gwybodaeth sesiwn sy'n datgelu technegau, tactegau a gweithdrefnau (TTP) tresmaswr.
Fy neges i gwmnïau sy'n meddwl na fydd neb yn ymosod arnyn nhw: "Rydych chi'n edrych yn galed."
— James Snook
Beth sydd yn y logiau?
Cyfanswm nifer y cysylltiadau
Cafwyd ymdrechion cysylltu dro ar ôl tro gan lawer o westeion. Mae hyn yn normal, gan fod gan sgriptiau ymosodiad restr lawn o gymwysterau a rhowch gynnig ar sawl cyfuniad. Mae'r Cowrie Honeypot wedi'i ffurfweddu i dderbyn rhai cyfuniadau o enwau defnyddiwr a chyfrinair. Mae hwn wedi'i ffurfweddu yn ffeil user.db.
Daearyddiaeth ymosodiadau
Gan ddefnyddio data geolocation Maxmind, cyfrifais nifer y cysylltiadau o bob gwlad. Mae Brasil a Tsieina yn arwain o bell ffordd, ac yn aml mae llawer o sŵn sganwyr yn dod o'r gwledydd hyn.
Perchennog bloc rhwydwaith
Gall ymchwilio i berchnogion blociau rhwydwaith (ASN) nodi sefydliadau sydd â nifer fawr o westeion ymosod. Wrth gwrs, mewn achosion o'r fath dylech bob amser gofio bod llawer o ymosodiadau yn dod gan westeion heintiedig. Mae'n rhesymol tybio nad yw'r rhan fwyaf o ymosodwyr yn ddigon dwp i sganio'r Rhwydwaith o gyfrifiadur cartref.
Porthladdoedd agored ar systemau ymosod (data o Shodan.io)
Rhedeg y rhestr IP drwy rhagorol
Darganfyddiad diddorol yw'r nifer fawr o systemau ym Mrasil sydd wedi ddim yn agored 22, 23 neu porthladdoedd eraill, yn ôl Censys a Shodan. Mae'n debyg mai cysylltiadau o gyfrifiaduron defnyddiwr terfynol yw'r rhain.
Bots? Ddim yn angenrheidiol
Data
Ond yma gallwch weld mai dim ond nifer fach o westeion sy'n sganio telnet sydd â phorthladd 23 yn agored i'r tu allan.Mae hyn yn golygu bod y systemau naill ai'n cael eu peryglu mewn rhyw ffordd arall, neu mae ymosodwyr yn rhedeg sgriptiau â llaw.
Cysylltiadau cartref
Canfyddiad diddorol arall oedd y nifer fawr o ddefnyddwyr cartref yn y sampl. Trwy ddefnyddio chwilio cefn Nodais 105 o gysylltiadau o gyfrifiaduron cartref penodol. Ar gyfer llawer o gysylltiadau cartref, mae chwiliad DNS cefn yn dangos yr enw gwesteiwr gyda'r geiriau dsl, cartref, cebl, ffibr, ac ati.
Dysgwch ac Archwiliwch: Codwch Eich Pot Mêl Eich Hun
Yn ddiweddar ysgrifennais diwtorial byr ar sut i
Yn lle rhedeg Cowrie ar y rhyngrwyd a dal yr holl sŵn, gallwch chi elwa o pot mêl ar eich rhwydwaith lleol. Gosod hysbysiad yn gyson os anfonir ceisiadau i rai porthladdoedd. Mae hwn naill ai'n ymosodwr y tu mewn i'r rhwydwaith, neu'n weithiwr chwilfrydig, neu'n sgan bregusrwydd.
Canfyddiadau
Ar ôl edrych ar weithredoedd ymosodwyr dros gyfnod o XNUMX awr, daw'n amlwg ei bod yn amhosibl nodi ffynhonnell glir o ymosodiadau mewn unrhyw sefydliad, gwlad, neu hyd yn oed system weithredu.
Mae dosbarthiad eang ffynonellau yn dangos bod sŵn sgan yn gyson ac nad yw'n gysylltiedig â ffynhonnell benodol. Rhaid i unrhyw un sy'n gweithio ar y Rhyngrwyd sicrhau bod eu system sawl lefel diogelwch. Ateb cyffredin ac effeithiol ar gyfer SSH bydd y gwasanaeth yn symud i borthladd uchel ar hap. Nid yw hyn yn dileu'r angen am amddiffyniad cyfrinair llym a monitro, ond o leiaf yn sicrhau nad yw'r logiau yn rhwystredig gan sganio cyson. Mae cysylltiadau porthladd uchel yn fwy tebygol o fod yn ymosodiadau wedi'u targedu, a allai fod o ddiddordeb i chi.
Yn aml mae porthladdoedd telnet agored ar lwybryddion neu ddyfeisiau eraill, felly ni ellir eu symud yn hawdd i borthladd uchel.
Ffynhonnell: hab.com