Statistiken für 24 Stunden nach der Installation eines Honeypots auf einem Digital Ocean-Knoten in Singapur
Pew Pew! Beginnen wir gleich mit der Angriffskarte
Unsere supercoole Karte zeigt die einzigartigen ASNs, die sich innerhalb von 24 Stunden mit unserem Cowrie-Honeypot verbunden haben. Gelb entspricht SSH-Verbindungen und Rot entspricht Telnet. Solche Animationen beeindrucken oft den Vorstand des Unternehmens, was dazu beitragen kann, mehr Mittel für Sicherheit und Ressourcen zu sichern. Die Karte hat jedoch einen gewissen Wert, da sie in nur 24 Stunden die geografische und organisatorische Ausbreitung der Angriffsquellen auf unserem Host deutlich zeigt. Die Animation spiegelt nicht die Menge des Datenverkehrs von jeder Quelle wider.
Was ist eine Pew Pew-Karte?
Pew Pew-Karte - Das
Hergestellt mit Leafletjs
Für diejenigen, die eine Angriffskarte für die große Leinwand in der Einsatzzentrale entwerfen möchten (Ihr Chef wird es lieben), gibt es eine Bibliothek
WTF: Was ist das für ein Kauri-Honeypot?
Honeypot ist ein System, das gezielt im Netzwerk platziert wird, um Angreifer anzulocken. Verbindungen zum System sind in der Regel illegal und ermöglichen es Ihnen, den Angreifer anhand detaillierter Protokolle zu erkennen. Protokolle speichern nicht nur reguläre Verbindungsinformationen, sondern auch aufschlussreiche Sitzungsinformationen Techniken, Taktiken und Vorgehensweisen (TTP) Eindringling.
Meine Botschaft an Unternehmen, die glauben, nicht angegriffen zu werden: „Ihr schaut genau hin.“
– James Snook
Was steht in den Protokollen?
Gesamtzahl der Verbindungen
Bei vielen Hosts kam es wiederholt zu Verbindungsversuchen. Dies ist normal, da Angriffsskripte über eine vollständige Liste von Anmeldeinformationen verfügen und mehrere Kombinationen ausprobieren. Der Cowrie Honeypot ist so konfiguriert, dass er bestimmte Kombinationen aus Benutzername und Passwort akzeptiert. Dies ist in konfiguriert user.db-Datei.
Geographie der Angriffe
Mithilfe der Geolokalisierungsdaten von Maxmind habe ich die Anzahl der Verbindungen aus jedem Land gezählt. Brasilien und China liegen mit großem Abstand an der Spitze, und es gibt oft viel Lärm durch Scanner aus diesen Ländern.
Eigentümer des Netzwerkblocks
Durch die Untersuchung der Eigentümer von Netzwerkblöcken (ASN) können Organisationen mit einer großen Anzahl angreifender Hosts identifiziert werden. Natürlich sollte man in solchen Fällen immer bedenken, dass viele Angriffe von infizierten Hosts ausgehen. Man kann davon ausgehen, dass die meisten Angreifer nicht dumm genug sind, das Netzwerk von einem Heimcomputer aus zu scannen.
Offene Ports auf angreifenden Systemen (Daten von Shodan.io)
Das Ausführen der IP-Liste ist hervorragend
Ein interessanter Fund ist die große Anzahl von Systemen in Brasilien, die dies getan haben nicht geöffnet 22, 23 oder andere Häfen, laut Censys und Shodan. Anscheinend handelt es sich dabei um Verbindungen von Endbenutzercomputern.
Bots? Nicht unbedingt
Daten
Aber hier sieht man, dass nur eine kleine Anzahl von Hosts, die Telnet scannen, Port 23 nach außen geöffnet haben. Das bedeutet, dass die Systeme entweder auf andere Weise kompromittiert sind oder Angreifer manuell Skripte ausführen.
Heimverbindungen
Ein weiteres interessantes Ergebnis war die große Anzahl von Heimanwendern in der Stichprobe. Mit Hilfe Rückwärtssuche Ich habe 105 Verbindungen von bestimmten Heimcomputern identifiziert. Bei vielen Heimverbindungen zeigt eine umgekehrte DNS-Suche den Hostnamen mit den Wörtern dsl, home, Cable, Fiber usw. an.
Lernen und erkunden: Kreieren Sie Ihren eigenen Honeypot
Ich habe kürzlich ein kurzes Tutorial dazu geschrieben
Anstatt Cowrie im Internet laufen zu lassen und den ganzen Lärm abzufangen, können Sie von Honeypot in Ihrem lokalen Netzwerk profitieren. Legen Sie ständig eine Benachrichtigung fest, wenn Anfragen an bestimmte Ports gesendet werden. Dabei handelt es sich entweder um einen Angreifer innerhalb des Netzwerks, um einen neugierigen Mitarbeiter oder um einen Schwachstellenscan.
Befund
Betrachtet man die Aktionen der Angreifer über einen Zeitraum von XNUMX Stunden, wird deutlich, dass es unmöglich ist, eine eindeutige Angriffsquelle in einer Organisation, einem Land oder sogar einem Betriebssystem zu identifizieren.
Die breite Verteilung der Quellen zeigt, dass das Scan-Rauschen konstant ist und nicht mit einer bestimmten Quelle verbunden ist. Wer im Internet arbeitet, muss dafür sorgen, dass sein System mehrere Sicherheitsstufen. Eine gemeinsame und effektive Lösung für SSH Der Dienst wird auf einen zufällig hohen Port verschoben. Dies macht einen strengen Passwortschutz und eine strenge Überwachung nicht überflüssig, stellt aber zumindest sicher, dass die Protokolle nicht durch ständiges Scannen verstopft werden. Bei High-Port-Verbindungen handelt es sich eher um gezielte Angriffe, die für Sie von Interesse sein könnten.
Offene Telnet-Ports befinden sich häufig auf Routern oder anderen Geräten und können daher nicht einfach auf einen hohen Port verschoben werden.
Source: habr.com