Analyse von Angriffen auf das Honeypot Cowrie

Statistiken für die letzten 24 Stunden nach der Installation des Honeypots auf dem Digital Ocean-Knoten in Singapur

Piu-piu! Lassen Sie uns gleich mit der Angriffsübersicht beginnen

Unsere großartige Karte zeigt die einzigartigen ASNs, die in den letzten 24 Stunden eine Verbindung zu unserem Cowrie-Honeypot hergestellt haben. Gelb steht für SSH-Verbindungen und Rot für Telnet. Solche Animationen beeindrucken häufig den Vorstand, was dazu beiträgt, mehr Mittel für Sicherheit und Ressourcen zu sichern. Dennoch hat die Karte ihren Wert, da sie deutlich die geografische und organisatorische Verteilung der Angriffsquellen auf unseren Host innerhalb von 24 Stunden demonstriert. Das Volumen des Traffics von jeder Quelle wird in der Animation nicht dargestellt.

Was ist die Pew Pew-Karte?

Pew Pew-Karte — ist Visualisierung von Cyberangriffen, normalerweise animiert und sehr ansprechend. Es ist ein trendiger Weg, um Ihr Produkt zu präsentieren, bekannt dafür, dass es von der Firma Norse Corp. genutzt wurde. Das Unternehmen hatte ein schlechtes Ende: Es stellte sich heraus, dass die schönen Animationen ihre einzige Stärke waren und sie für die Analyse fragmentierte Daten verwendeten.

Erstellt mit Leafletjs

Für diejenigen, die eine Angriffslandkarte für einen großen Bildschirm im Betriebssystem entwickeln möchten (Ihr Chef wird es mögen), gibt es eine Bibliothek leafletjs. Wir kombinieren sie mit dem Plugin des Layer-Migrations-Plugins leaflet, dem Maxmind GeoIP-Service – und fertig..

Analyse von Angriffen auf das Honeypot Cowrie

WTF: Was ist dieses Honeypot Cowrie?

Ein Honeypot ist ein System, das absichtlich im Netzwerk platziert wird, um Angreifer anzulocken. Verbindungen zu diesem System sind in der Regel illegal und ermöglichen es, den Angreifer mit detaillierten Protokollen zu identifizieren. Die Protokolle speichern nicht nur gewöhnliche Verbindungsinformationen, sondern auch Sitzungsinformationen, die Techniken, Taktiken und Verfahren (TTP) des Angreifers offenbaren.

Das Honeypot Cowrie ist dafür vorgesehen, SSH- und Telnet-Verbindungen aufzuzeichnen.Solche Honeypots werden häufig ins Internet geschaltet, um Werkzeuge, Skripte und Hosts von Angreifern zu verfolgen.

Meine Botschaft an Unternehmen, die denken, dass sie nicht angegriffen werden: „Sie suchen schlecht.“
– James Snook

Analyse von Angriffen auf das Honeypot Cowrie

Was steht in den Protokollen?

Die Gesamtanzahl der Verbindungen

Mehrere Verbindungsversuche von verschiedenen Hosts sind eingegangen. Das ist normal, da Angreiferskripte eine Liste von Anmeldedaten enthalten und verschiedene Kombinationen ausprobieren. Der Honeypot Cowrie ist so konfiguriert, dass er bestimmte Kombinationen von Benutzernamen und Passwort akzeptiert. Dies kann in der Datei user.db.

Analyse von Angriffen auf das Honeypot Cowrie

Geografie der Angriffe

Basierend auf den Geolokalisierungsdaten von Maxmind habe ich die Anzahl der Verbindungen aus jedem Land gezählt. Brasilien und China führen mit großem Abstand, aus diesen Ländern kommen oft viele Geräusche von Scannern.

Analyse von Angriffen auf das Honeypot Cowrie

Inhaber des Netzwerkblocks

Die Untersuchung der Inhaber von Netzwerkblöcken (ASN) kann Organisationen mit einer Vielzahl von angreifenden Hosts aufdecken. Natürlich sollte man in solchen Fällen immer bedenken, dass viele Angriffe von infizierten Hosts ausgehen. Es ist vernünftig anzunehmen, dass die meisten Angreifer nicht so dumm sind, das Netzwerk von einem Heimcomputer aus zu scannen.

Analyse von Angriffen auf das Honeypot Cowrie

Offene Ports auf den angreifenden Systemen (Daten von Shodan.io)

Das Durchlaufen der IP-Liste durch das hervorragende Shodan API bestimmt schnell Systeme mit offenen Ports Und was sind das für Ports? Im Bild unten wird die Konzentration offener Ports nach Ländern und Organisationen dargestellt. Man könnte Blöcke kompromittierter Systeme identifizieren, aber innerhalb einer kleinen Stichprobe ist nichts Außergewöhnliches zu sehen, abgesehen von einer großen Anzahl offener Ports 500 in China..

Eine interessante Entdeckung ist, dass eine große Anzahl von Systemen in Brasilien Ports 22 und 23 nicht geöffnet hat. oder andere Ports, laut den Daten von Censys und Shodan. Anscheinend handelt es sich um Verbindungen von Endbenutzercomputern.

Analyse von Angriffen auf das Honeypot Cowrie

Bots? Nicht unbedingt.

Daten Censys zeigte an diesem Tag seltsame Ergebnisse für die Ports 22 und 23. Ich vermutete, dass die meisten Scans und Passwortangriffe von Bots ausgehen. Ein Skript verbreitet sich über offene Ports, versucht Passwörter zu knacken und kopiert sich selbst von einem neuen System, um sich weiterhin auf dieselbe Weise zu verbreiten.

Aber hier ist zu erkennen, dass nur bei einer kleinen Anzahl von Hosts, die Telnet scannen, der Port 23 nach außen geöffnet ist. Das bedeutet, dass die Systeme entweder auf andere Weise kompromittiert wurden oder dass Angreifer Skripte manuell ausführen.

Analyse von Angriffen auf das Honeypot Cowrie

Heimverbindungen

Eine weitere interessante Entdeckung war die große Anzahl von Heimnutzern in der Stichprobe. Mit Hilfe von Rückblick Ich habe 105 Verbindungen von bestimmten Heimcomputern identifiziert. Bei vielen Heimverbindungen wird beim Rückblick der DNS-Name mit den Wörtern dsl, home, cable, fiber usw. angezeigt.

Analyse von Angriffen auf das Honeypot Cowrie

Lernen und erkunden: Richten Sie Ihren eigenen Honeypot ein

Ich habe kürzlich eine kurze Anleitung geschrieben, wie man den Honeypot Cowrie auf seinem System installiert. Wie bereits erwähnt, wurde in unserem Fall ein Digital Ocean VPS in Singapur verwendet. Die Kosten für die Analyse über 24 Stunden betrugen buchstäblich nur wenige Cent, und die Zeit für die Einrichtung des Systems betrug 30 Minuten.

Anstatt Cowrie im Internet zu betreiben und den gesamten Lärm aufzufangen, kann man die Vorteile des Honeypots im lokalen Netzwerk nutzen. Man richtet einfach eine Benachrichtigung ein, wenn auf bestimmte Ports Anfragen eingehen. Das könnte entweder ein Angreifer im Netzwerk, ein neugieriger Mitarbeiter oder ein Schwachstellenscan sein.

Fazit

Nach der Beobachtung der Aktivitäten von Angreifern über einen Tag wird klar, dass es unmöglich ist, eine eindeutige Quelle für Angriffe einer bestimmten Organisation, eines Landes oder sogar eines Betriebssystems zu benennen.

Die weit verbreiteten Quellen zeigen, dass das Scanrauschen konstant ist und nicht mit einer bestimmten Quelle assoziiert wird. Jeder, der im Internet tätig ist, sollte sicherstellen, dass sein System mehrere Sicherheitsstufen. Eine gängige und effektive Lösung für SSH die Migration des Dienstes auf einen zufälligen hohen Port. Dies eliminiert nicht die Notwendigkeit für strenge Passwortsicherheit und Überwachung, gewährleistet aber zumindest, dass die Protokolle nicht durch kontinuierliches Scannen überlastet werden. Verbindungen zu hohen Ports sind mit größerer Wahrscheinlichkeit gezielte Angriffe, die von Interesse sein könnten.

Häufig sind offene Telnet-Ports auf Routern oder anderen Geräten zu finden, sodass sie nicht einfach auf einen hohen Port verschoben werden können. Informationen über alle offenen Ports und Angriffsfläche sind der einzige Weg, um sicherzustellen, dass diese Dienste durch eine Firewall geschützt oder deaktiviert sind. Wo möglich, sollte Telnet überhaupt nicht verwendet werden, da dieses Protokoll nicht verschlüsselt ist. Wenn es erforderlich ist und nicht anders geht, sollten Sie es sorgfältig überwachen und sichere Passwörter verwenden.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster