Statistik for 24 timer efter installation af en honeypot på en Digital Ocean-node i Singapore
Pew Pew! Lad os starte med det samme med angrebskortet
Vores super seje kort viser de unikke ASN'er, der er forbundet til vores Cowrie honeypot inden for 24 timer. Gul svarer til SSH-forbindelser, og rød svarer til Telnet. Sådanne animationer imponerer ofte virksomhedens bestyrelse, hvilket kan være med til at sikre flere midler til sikkerhed og ressourcer. Kortet har dog en vis værdi, der tydeligt viser den geografiske og organisatoriske spredning af angrebskilder på vores vært på kun 24 timer. Animationen afspejler ikke mængden af trafik fra hver kilde.
Hvad er et Pew Pew-kort?
Pew Pew kort - Er
Lavet med Leafletjs
For dem, der ønsker at designe et angrebskort til den store skærm i operationscenteret (din chef vil elske det), er der et bibliotek
WTF: hvad er denne Cowrie honningpotte?
Honeypot er et system, der er placeret på netværket specifikt for at lokke angribere. Forbindelser til systemet er normalt ulovlige og giver dig mulighed for at opdage angriberen ved hjælp af detaljerede logfiler. Logs gemmer ikke kun almindelig forbindelsesinformation, men også sessionsinformation, der afslører teknikker, taktik og procedurer (TTP) ubuden gæst.
Min besked til virksomheder, der tror, de ikke vil blive angrebet: "I kigger godt efter."
- James Snook
Hvad står der i logfilerne?
Samlet antal forbindelser
Der var gentagne forbindelsesforsøg fra mange værter. Dette er normalt, da angrebsscripts har en komplet liste over legitimationsoplysninger og prøver flere kombinationer. Cowrie Honeypot er konfigureret til at acceptere visse brugernavn og adgangskodekombinationer. Dette er konfigureret i user.db-fil.
Geografi af angreb
Ved at bruge Maxmind geolocation-data talte jeg antallet af forbindelser fra hvert land. Brasilien og Kina fører med stor margin, og der er ofte meget støj fra scannere, der kommer fra disse lande.
Ejer af netværksblok
At undersøge ejerne af netværksblokke (ASN) kan identificere organisationer med et stort antal angribende værter. Selvfølgelig skal du i sådanne tilfælde altid huske, at mange angreb kommer fra inficerede værter. Det er rimeligt at antage, at de fleste angribere ikke er dumme nok til at scanne netværket fra en hjemmecomputer.
Åbne porte på angribende systemer (data fra Shodan.io)
Kører IP-listen fremragende
Et interessant fund er det store antal systemer i Brasilien, der har ikke åben 22, 23 eller andre havne, ifølge Censys og Shodan. Tilsyneladende er disse forbindelser fra slutbrugercomputere.
Bots? Ikke nødvendigt
Data
Men her kan du se, at kun et lille antal værter, der scanner telnet, har port 23 åben udadtil.Det betyder, at systemerne enten er kompromitteret på en anden måde, eller også kører angribere scripts manuelt.
Hjemmeforbindelser
Et andet interessant fund var det store antal hjemmebrugere i stikprøven. Ved hjælp af omvendt opslag Jeg identificerede 105 forbindelser fra specifikke hjemmecomputere. For mange hjemmeforbindelser viser et omvendt DNS-opslag værtsnavnet med ordene dsl, home, cable, fiber og så videre.
Lær og udforsk: Hæv din egen honningpotte
Jeg skrev for nylig en kort vejledning om, hvordan man
I stedet for at køre Cowrie på internettet og fange al støjen, kan du drage fordel af honeypot på dit lokale netværk. Indstil konstant en meddelelse, hvis anmodninger sendes til bestemte porte. Dette er enten en angriber inde i netværket eller en nysgerrig medarbejder eller en sårbarhedsscanning.
Fund
Efter at have set angribernes handlinger over en XNUMX-timers periode, bliver det klart, at det er umuligt at identificere en klar kilde til angreb i nogen organisation, land eller endda operativsystem.
Den brede fordeling af kilder viser, at scanningsstøj er konstant og ikke forbundet med en bestemt kilde. Enhver, der arbejder på internettet, skal sikre, at deres system flere sikkerhedsniveauer. En fælles og effektiv løsning til SSH tjenesten vil flytte til en tilfældig høj port. Dette eliminerer ikke behovet for streng adgangskodebeskyttelse og overvågning, men sikrer i det mindste, at logfilerne ikke tilstoppes ved konstant scanning. Høje portforbindelser er mere tilbøjelige til at være målrettede angreb, hvilket kan være interessant for dig.
Ofte er åbne telnet-porte på routere eller andre enheder, så de kan ikke nemt flyttes til en høj port.
Kilde: www.habr.com