Statistik for 24 timer efter installation af en honeypot på en Digital Ocean-node i Singapore
Pew Pew! Lad os starte med det samme med angrebskortet
Vores super seje kort viser de unikke ASN'er, der er forbundet til vores Cowrie honeypot inden for 24 timer. Gul svarer til SSH-forbindelser, og rød svarer til Telnet. Sådanne animationer imponerer ofte virksomhedens bestyrelse, hvilket kan være med til at sikre flere midler til sikkerhed og ressourcer. Kortet har dog en vis værdi, der tydeligt viser den geografiske og organisatoriske spredning af angrebskilder på vores vært på kun 24 timer. Animationen afspejler ikke mængden af trafik fra hver kilde.
Hvad er et Pew Pew-kort?
Pew Pew kort - Er , normalt animeret og meget smuk. Det er en smart måde at sælge dit produkt på, som er berygtet brugt af Norse Corp. Virksomheden endte dårligt: det viste sig, at smukke animationer var deres eneste fordel, og de brugte fragmentariske data til analyse.
Lavet med Leafletjs
For dem, der ønsker at designe et angrebskort til den store skærm i operationscenteret (din chef vil elske det), er der et bibliotek . Vi kombinerer det med plugin'et , Maxmind GeoIP-tjeneste - .
WTF: hvad er denne Cowrie honningpotte?
Honeypot er et system, der er placeret på netværket specifikt for at lokke angribere. Forbindelser til systemet er normalt ulovlige og giver dig mulighed for at opdage angriberen ved hjælp af detaljerede logfiler. Logs gemmer ikke kun almindelig forbindelsesinformation, men også sessionsinformation, der afslører teknikker, taktik og procedurer (TTP) ubuden gæst.
skabt til SSH- og Telnet-forbindelsesposter. Sådanne honeypots sættes ofte på internettet for at spore angribernes værktøjer, scripts og værter.
Min besked til virksomheder, der tror, de ikke vil blive angrebet: "I kigger godt efter."
- James Snook
Hvad står der i logfilerne?
Samlet antal forbindelser
Der var gentagne forbindelsesforsøg fra mange værter. Dette er normalt, da angrebsscripts har en komplet liste over legitimationsoplysninger og prøver flere kombinationer. Cowrie Honeypot er konfigureret til at acceptere visse brugernavn og adgangskodekombinationer. Dette er konfigureret i user.db-fil.
Geografi af angreb
Ved at bruge Maxmind geolocation-data talte jeg antallet af forbindelser fra hvert land. Brasilien og Kina fører med stor margin, og der er ofte meget støj fra scannere, der kommer fra disse lande.
Ejer af netværksblok
At undersøge ejerne af netværksblokke (ASN) kan identificere organisationer med et stort antal angribende værter. Selvfølgelig skal du i sådanne tilfælde altid huske, at mange angreb kommer fra inficerede værter. Det er rimeligt at antage, at de fleste angribere ikke er dumme nok til at scanne netværket fra en hjemmecomputer.
Åbne porte på angribende systemer (data fra Shodan.io)
Kører IP-listen fremragende identificerer hurtigt systemer med åbne porte og hvad er disse porte? Nedenstående figur viser koncentrationen af åbne havne fordelt på land og organisation. Det ville være muligt at identificere blokke af kompromitterede systemer, men indenfor lille prøve intet udestående er synligt, bortset fra et stort antal 500 åbne havne i Kina.
Et interessant fund er det store antal systemer i Brasilien, der har ikke åben 22, 23 eller andre havne, ifølge Censys og Shodan. Tilsyneladende er disse forbindelser fra slutbrugercomputere.
Bots? Ikke nødvendigt
Data for havne 22 og 23 viste de noget mærkeligt den dag. Jeg antog, at de fleste scanninger og adgangskodeangreb kommer fra bots. Scriptet spredes over åbne porte, gætter adgangskoder og kopierer sig selv fra det nye system og fortsætter med at sprede sig ved hjælp af samme metode.
Men her kan du se, at kun et lille antal værter, der scanner telnet, har port 23 åben udadtil.Det betyder, at systemerne enten er kompromitteret på en anden måde, eller også kører angribere scripts manuelt.
Hjemmeforbindelser
Et andet interessant fund var det store antal hjemmebrugere i stikprøven. Ved hjælp af omvendt opslag Jeg identificerede 105 forbindelser fra specifikke hjemmecomputere. For mange hjemmeforbindelser viser et omvendt DNS-opslag værtsnavnet med ordene dsl, home, cable, fiber og så videre.
Lær og udforsk: Hæv din egen honningpotte
Jeg skrev for nylig en kort vejledning om, hvordan man . Som allerede nævnt brugte vi i vores tilfælde Digital Ocean VPS i Singapore. For 24 timers analyse var prisen bogstaveligt talt et par cent, og tiden til at samle systemet var 30 minutter.
I stedet for at køre Cowrie på internettet og fange al støjen, kan du drage fordel af honeypot på dit lokale netværk. Indstil konstant en meddelelse, hvis anmodninger sendes til bestemte porte. Dette er enten en angriber inde i netværket eller en nysgerrig medarbejder eller en sårbarhedsscanning.
Fund
Efter at have set angribernes handlinger over en XNUMX-timers periode, bliver det klart, at det er umuligt at identificere en klar kilde til angreb i nogen organisation, land eller endda operativsystem.
Den brede fordeling af kilder viser, at scanningsstøj er konstant og ikke forbundet med en bestemt kilde. Enhver, der arbejder på internettet, skal sikre, at deres system flere sikkerhedsniveauer. En fælles og effektiv løsning til SSH tjenesten vil flytte til en tilfældig høj port. Dette eliminerer ikke behovet for streng adgangskodebeskyttelse og overvågning, men sikrer i det mindste, at logfilerne ikke tilstoppes ved konstant scanning. Høje portforbindelser er mere tilbøjelige til at være målrettede angreb, hvilket kan være interessant for dig.
Ofte er åbne telnet-porte på routere eller andre enheder, så de kan ikke nemt flyttes til en høj port. и er den eneste måde at sikre, at disse tjenester er firewalled eller deaktiveret. Hvis det er muligt, bør du slet ikke bruge Telnet, denne protokol er ikke krypteret. Hvis du har brug for det og ikke kan undvære det, så overvåg det omhyggeligt og brug stærke adgangskoder.
Kilde: www.habr.com