Statistiken für 24 Stunden nach der Installation eines Honeypots auf einem Digital Ocean-Knoten in Singapur
Pew Pew! Beginnen wir gleich mit der Angriffskarte
Unsere supercoole Karte zeigt die einzigartigen ASNs, die sich innerhalb von 24 Stunden mit unserem Cowrie-Honeypot verbunden haben. Gelb entspricht SSH-Verbindungen und Rot entspricht Telnet. Solche Animationen beeindrucken oft den Vorstand des Unternehmens, was dazu beitragen kann, mehr Mittel für Sicherheit und Ressourcen zu sichern. Die Karte hat jedoch einen gewissen Wert, da sie in nur 24 Stunden die geografische und organisatorische Ausbreitung der Angriffsquellen auf unserem Host deutlich zeigt. Die Animation spiegelt nicht die Menge des Datenverkehrs von jeder Quelle wider.
Was ist eine Pew Pew-Karte?
Pew Pew-Karte - Das , meist animiert und sehr schön. Es ist eine ausgefallene Art, Ihr Produkt zu verkaufen, die berüchtigterweise von Norse Corp. verwendet wird. Das Unternehmen endete schlecht: Es stellte sich heraus, dass schöne Animationen ihr einziger Vorteil waren, und sie verwendeten fragmentarische Daten für die Analyse.
Hergestellt mit Leafletjs
Für diejenigen, die eine Angriffskarte für die große Leinwand in der Einsatzzentrale entwerfen möchten (Ihr Chef wird es lieben), gibt es eine Bibliothek . Wir kombinieren es mit dem Plugin , Maxmind GeoIP-Dienst - .
WTF: Was ist das für ein Kauri-Honeypot?
Honeypot ist ein System, das gezielt im Netzwerk platziert wird, um Angreifer anzulocken. Verbindungen zum System sind in der Regel illegal und ermöglichen es Ihnen, den Angreifer anhand detaillierter Protokolle zu erkennen. Protokolle speichern nicht nur reguläre Verbindungsinformationen, sondern auch aufschlussreiche Sitzungsinformationen Techniken, Taktiken und Vorgehensweisen (TTP) Eindringling.
hergestellt für SSH- und Telnet-Verbindungsaufzeichnungen. Solche Honeypots werden häufig ins Internet gestellt, um die Tools, Skripte und Hosts von Angreifern zu verfolgen.
Meine Botschaft an Unternehmen, die glauben, nicht angegriffen zu werden: „Ihr schaut genau hin.“
– James Snook
Was steht in den Protokollen?
Gesamtzahl der Verbindungen
Bei vielen Hosts kam es wiederholt zu Verbindungsversuchen. Dies ist normal, da Angriffsskripte über eine vollständige Liste von Anmeldeinformationen verfügen und mehrere Kombinationen ausprobieren. Der Cowrie Honeypot ist so konfiguriert, dass er bestimmte Kombinationen aus Benutzername und Passwort akzeptiert. Dies ist in konfiguriert user.db-Datei.
Geographie der Angriffe
Mithilfe der Geolokalisierungsdaten von Maxmind habe ich die Anzahl der Verbindungen aus jedem Land gezählt. Brasilien und China liegen mit großem Abstand an der Spitze, und es gibt oft viel Lärm durch Scanner aus diesen Ländern.
Eigentümer des Netzwerkblocks
Durch die Untersuchung der Eigentümer von Netzwerkblöcken (ASN) können Organisationen mit einer großen Anzahl angreifender Hosts identifiziert werden. Natürlich sollte man in solchen Fällen immer bedenken, dass viele Angriffe von infizierten Hosts ausgehen. Man kann davon ausgehen, dass die meisten Angreifer nicht dumm genug sind, das Netzwerk von einem Heimcomputer aus zu scannen.
Offene Ports auf angreifenden Systemen (Daten von Shodan.io)
Das Ausführen der IP-Liste ist hervorragend erkennt schnell Systeme mit offenen Ports und was sind das für Ports? Die folgende Abbildung zeigt die Konzentration der offenen Häfen nach Ländern und Organisationen. Es wäre möglich, Blöcke kompromittierter Systeme zu identifizieren, allerdings innerhalb kleine Probe Bis auf eine große Anzahl ist nichts Besonderes zu erkennen 500 offene Häfen in China.
Ein interessanter Fund ist die große Anzahl von Systemen in Brasilien, die dies getan haben nicht geöffnet 22, 23 oder andere Häfen, laut Censys und Shodan. Anscheinend handelt es sich dabei um Verbindungen von Endbenutzercomputern.
Bots? Nicht unbedingt
Daten Für die Ports 22 und 23 zeigten sie an diesem Tag etwas Seltsames. Ich ging davon aus, dass die meisten Scans und Passwortangriffe von Bots ausgehen. Das Skript verbreitet sich über offene Ports, errät Passwörter, kopiert sich vom neuen System und verbreitet sich mit der gleichen Methode weiter.
Aber hier sieht man, dass nur eine kleine Anzahl von Hosts, die Telnet scannen, Port 23 nach außen geöffnet haben. Das bedeutet, dass die Systeme entweder auf andere Weise kompromittiert sind oder Angreifer manuell Skripte ausführen.
Heimverbindungen
Ein weiteres interessantes Ergebnis war die große Anzahl von Heimanwendern in der Stichprobe. Mit Hilfe Rückwärtssuche Ich habe 105 Verbindungen von bestimmten Heimcomputern identifiziert. Bei vielen Heimverbindungen zeigt eine umgekehrte DNS-Suche den Hostnamen mit den Wörtern dsl, home, Cable, Fiber usw. an.
Lernen und erkunden: Kreieren Sie Ihren eigenen Honeypot
Ich habe kürzlich ein kurzes Tutorial dazu geschrieben . Wie bereits erwähnt, haben wir in unserem Fall Digital Ocean VPS in Singapur verwendet. Für 24 Stunden Analyse betrugen die Kosten buchstäblich ein paar Cent und die Zeit für den Zusammenbau des Systems betrug 30 Minuten.
Anstatt Cowrie im Internet laufen zu lassen und den ganzen Lärm abzufangen, können Sie von Honeypot in Ihrem lokalen Netzwerk profitieren. Legen Sie ständig eine Benachrichtigung fest, wenn Anfragen an bestimmte Ports gesendet werden. Dabei handelt es sich entweder um einen Angreifer innerhalb des Netzwerks, um einen neugierigen Mitarbeiter oder um einen Schwachstellenscan.
Befund
Betrachtet man die Aktionen der Angreifer über einen Zeitraum von XNUMX Stunden, wird deutlich, dass es unmöglich ist, eine eindeutige Angriffsquelle in einer Organisation, einem Land oder sogar einem Betriebssystem zu identifizieren.
Die breite Verteilung der Quellen zeigt, dass das Scan-Rauschen konstant ist und nicht mit einer bestimmten Quelle verbunden ist. Wer im Internet arbeitet, muss dafür sorgen, dass sein System mehrere Sicherheitsstufen. Eine gemeinsame und effektive Lösung für SSH Der Dienst wird auf einen zufällig hohen Port verschoben. Dies macht einen strengen Passwortschutz und eine strenge Überwachung nicht überflüssig, stellt aber zumindest sicher, dass die Protokolle nicht durch ständiges Scannen verstopft werden. Bei High-Port-Verbindungen handelt es sich eher um gezielte Angriffe, die für Sie von Interesse sein könnten.
Offene Telnet-Ports befinden sich häufig auf Routern oder anderen Geräten und können daher nicht einfach auf einen hohen Port verschoben werden. и Nur so kann sichergestellt werden, dass diese Dienste durch eine Firewall geschützt oder deaktiviert sind. Auf die Nutzung von Telnet sollte nach Möglichkeit gänzlich verzichtet werden, da dieses Protokoll nicht verschlüsselt ist. Wenn Sie es brauchen und nicht darauf verzichten können, überwachen Sie es sorgfältig und verwenden Sie sichere Passwörter.
Source: habr.com