Ystadegau am 24 awr ar ôl gosod pot mêl ar nod Cefnfor Digidol yn Singapore
Pew Pew! Gadewch i ni ddechrau ar unwaith gyda'r map ymosodiad
Mae ein map hynod o cŵl yn dangos yr ASNs unigryw a gysylltodd â'n pot mêl Cowrie o fewn 24 awr. Mae melyn yn cyfateb i gysylltiadau SSH, ac mae coch yn cyfateb i Telnet. Mae animeiddiadau o'r fath yn aml yn gwneud argraff ar fwrdd cyfarwyddwyr y cwmni, a all helpu i sicrhau mwy o arian ar gyfer diogelwch ac adnoddau. Fodd bynnag, mae rhywfaint o werth i'r map, sy'n dangos yn glir lledaeniad daearyddol a sefydliadol ffynonellau ymosod ar ein gwesteiwr mewn dim ond 24 awr. Nid yw'r animeiddiad yn adlewyrchu faint o draffig o bob ffynhonnell.
Beth yw map Pew Pew?
Map Pew Pew - A yw , fel arfer yn animeiddiedig ac yn hardd iawn. Mae'n ffordd ffansi o werthu'ch cynnyrch, a ddefnyddir yn warthus gan Norse Corp. Daeth y cwmni i ben yn wael: daeth yn amlwg mai animeiddiadau hardd oedd eu hunig fantais, a defnyddiwyd data darniog i'w dadansoddi.
Wedi ei Wneud â Thaflenjs
I'r rhai sydd am ddylunio map ymosodiad ar gyfer y sgrin fawr yn y ganolfan weithrediadau (bydd eich rheolwr wrth ei fodd), mae yna lyfrgell . Rydyn ni'n ei gyfuno â'r ategyn , gwasanaeth GeoIP Maxmind - .
WTF: beth yw'r pot mêl Cowrie hwn?
Mae Honeypot yn system sy'n cael ei gosod ar y rhwydwaith yn benodol i ddenu ymosodwyr. Mae cysylltiadau â'r system fel arfer yn anghyfreithlon ac yn caniatáu ichi ganfod yr ymosodwr gan ddefnyddio logiau manwl. Mae logiau nid yn unig yn storio gwybodaeth gysylltiad rheolaidd, ond hefyd gwybodaeth sesiwn sy'n datgelu technegau, tactegau a gweithdrefnau (TTP) tresmaswr.
creu ar gyfer Cofnodion cysylltiad SSH a Telnet. Mae potiau mêl o'r fath yn aml yn cael eu rhoi ar y Rhyngrwyd i olrhain yr offer, y sgriptiau a'r llu o ymosodwyr.
Fy neges i gwmnïau sy'n meddwl na fydd neb yn ymosod arnyn nhw: "Rydych chi'n edrych yn galed."
— James Snook
Beth sydd yn y logiau?
Cyfanswm nifer y cysylltiadau
Cafwyd ymdrechion cysylltu dro ar ôl tro gan lawer o westeion. Mae hyn yn normal, gan fod gan sgriptiau ymosodiad restr lawn o gymwysterau a rhowch gynnig ar sawl cyfuniad. Mae'r Cowrie Honeypot wedi'i ffurfweddu i dderbyn rhai cyfuniadau o enwau defnyddiwr a chyfrinair. Mae hwn wedi'i ffurfweddu yn ffeil user.db.
Daearyddiaeth ymosodiadau
Gan ddefnyddio data geolocation Maxmind, cyfrifais nifer y cysylltiadau o bob gwlad. Mae Brasil a Tsieina yn arwain o bell ffordd, ac yn aml mae llawer o sŵn sganwyr yn dod o'r gwledydd hyn.
Perchennog bloc rhwydwaith
Gall ymchwilio i berchnogion blociau rhwydwaith (ASN) nodi sefydliadau sydd â nifer fawr o westeion ymosod. Wrth gwrs, mewn achosion o'r fath dylech bob amser gofio bod llawer o ymosodiadau yn dod gan westeion heintiedig. Mae'n rhesymol tybio nad yw'r rhan fwyaf o ymosodwyr yn ddigon dwp i sganio'r Rhwydwaith o gyfrifiadur cartref.
Porthladdoedd agored ar systemau ymosod (data o Shodan.io)
Rhedeg y rhestr IP drwy rhagorol adnabod yn gyflym systemau gyda phorthladdoedd agored a beth yw'r porthladdoedd hyn? Mae'r ffigur isod yn dangos y crynodiad o borthladdoedd agored fesul gwlad a sefydliad. Byddai'n bosibl nodi blociau o systemau dan fygythiad, ond o fewn sampl bach nid oes dim rhagorol i'w weled, oddieithr nifer fawr 500 o borthladdoedd agored yn Tsieina.
Darganfyddiad diddorol yw'r nifer fawr o systemau ym Mrasil sydd wedi ddim yn agored 22, 23 neu porthladdoedd eraill, yn ôl Censys a Shodan. Mae'n debyg mai cysylltiadau o gyfrifiaduron defnyddiwr terfynol yw'r rhain.
Bots? Ddim yn angenrheidiol
Data ar gyfer porthladdoedd 22 a 23 dangosasant rywbeth rhyfedd y diwrnod hwnnw. Cymerais fod y rhan fwyaf o sganiau ac ymosodiadau cyfrinair yn dod o bots. Mae'r sgript yn lledaenu dros borthladdoedd agored, gan ddyfalu cyfrineiriau, a chopïo ei hun o'r system newydd ac yn parhau i ledaenu gan ddefnyddio'r un dull.
Ond yma gallwch weld mai dim ond nifer fach o westeion sy'n sganio telnet sydd â phorthladd 23 yn agored i'r tu allan.Mae hyn yn golygu bod y systemau naill ai'n cael eu peryglu mewn rhyw ffordd arall, neu mae ymosodwyr yn rhedeg sgriptiau â llaw.
Cysylltiadau cartref
Canfyddiad diddorol arall oedd y nifer fawr o ddefnyddwyr cartref yn y sampl. Trwy ddefnyddio chwilio cefn Nodais 105 o gysylltiadau o gyfrifiaduron cartref penodol. Ar gyfer llawer o gysylltiadau cartref, mae chwiliad DNS cefn yn dangos yr enw gwesteiwr gyda'r geiriau dsl, cartref, cebl, ffibr, ac ati.
Dysgwch ac Archwiliwch: Codwch Eich Pot Mêl Eich Hun
Yn ddiweddar ysgrifennais diwtorial byr ar sut i . Fel y soniwyd eisoes, yn ein hachos ni fe wnaethom ddefnyddio Digital Ocean VPS yn Singapore. Am 24 awr o ddadansoddiad, roedd y gost yn llythrennol yn ychydig cents, a'r amser i gydosod y system oedd 30 munud.
Yn lle rhedeg Cowrie ar y rhyngrwyd a dal yr holl sŵn, gallwch chi elwa o pot mêl ar eich rhwydwaith lleol. Gosod hysbysiad yn gyson os anfonir ceisiadau i rai porthladdoedd. Mae hwn naill ai'n ymosodwr y tu mewn i'r rhwydwaith, neu'n weithiwr chwilfrydig, neu'n sgan bregusrwydd.
Canfyddiadau
Ar ôl edrych ar weithredoedd ymosodwyr dros gyfnod o XNUMX awr, daw'n amlwg ei bod yn amhosibl nodi ffynhonnell glir o ymosodiadau mewn unrhyw sefydliad, gwlad, neu hyd yn oed system weithredu.
Mae dosbarthiad eang ffynonellau yn dangos bod sŵn sgan yn gyson ac nad yw'n gysylltiedig â ffynhonnell benodol. Rhaid i unrhyw un sy'n gweithio ar y Rhyngrwyd sicrhau bod eu system sawl lefel diogelwch. Ateb cyffredin ac effeithiol ar gyfer SSH bydd y gwasanaeth yn symud i borthladd uchel ar hap. Nid yw hyn yn dileu'r angen am amddiffyniad cyfrinair llym a monitro, ond o leiaf yn sicrhau nad yw'r logiau yn rhwystredig gan sganio cyson. Mae cysylltiadau porthladd uchel yn fwy tebygol o fod yn ymosodiadau wedi'u targedu, a allai fod o ddiddordeb i chi.
Yn aml mae porthladdoedd telnet agored ar lwybryddion neu ddyfeisiau eraill, felly ni ellir eu symud yn hawdd i borthladd uchel. и yw'r unig ffordd i sicrhau bod muriau gwarchod ar gyfer y gwasanaethau hyn neu eu bod yn anabl. Os yn bosibl, ni ddylech ddefnyddio Telnet o gwbl; nid yw'r protocol hwn wedi'i amgryptio. Os ydych chi ei angen ac yn methu â gwneud hebddo, yna monitro'n ofalus a defnyddio cyfrineiriau cryf.
Ffynhonnell: hab.com