Statistiken für die letzten 24 Stunden nach der Installation des Honeypots auf dem Digital Ocean-Knoten in Singapur
Piu-piu! Lassen Sie uns gleich mit der Angriffsübersicht beginnen
Unsere großartige Karte zeigt die einzigartigen ASNs, die in den letzten 24 Stunden eine Verbindung zu unserem Cowrie-Honeypot hergestellt haben. Gelb steht für SSH-Verbindungen und Rot für Telnet. Solche Animationen beeindrucken häufig den Vorstand, was dazu beiträgt, mehr Mittel für Sicherheit und Ressourcen zu sichern. Dennoch hat die Karte ihren Wert, da sie deutlich die geografische und organisatorische Verteilung der Angriffsquellen auf unseren Host innerhalb von 24 Stunden demonstriert. Das Volumen des Traffics von jeder Quelle wird in der Animation nicht dargestellt.
Was ist die Pew Pew-Karte?
Pew Pew-Karte — ist , normalerweise animiert und sehr ansprechend. Es ist ein trendiger Weg, um Ihr Produkt zu präsentieren, bekannt dafür, dass es von der Firma Norse Corp. genutzt wurde. Das Unternehmen hatte ein schlechtes Ende: Es stellte sich heraus, dass die schönen Animationen ihre einzige Stärke waren und sie für die Analyse fragmentierte Daten verwendeten.
Erstellt mit Leafletjs
Für diejenigen, die eine Angriffslandkarte für einen großen Bildschirm im Betriebssystem entwickeln möchten (Ihr Chef wird es mögen), gibt es eine Bibliothek . Wir kombinieren sie mit dem Plugin , dem Maxmind GeoIP-Service – .
WTF: Was ist dieses Honeypot Cowrie?
Ein Honeypot ist ein System, das absichtlich im Netzwerk platziert wird, um Angreifer anzulocken. Verbindungen zu diesem System sind in der Regel illegal und ermöglichen es, den Angreifer mit detaillierten Protokollen zu identifizieren. Die Protokolle speichern nicht nur gewöhnliche Verbindungsinformationen, sondern auch Sitzungsinformationen, die Techniken, Taktiken und Verfahren (TTP) des Angreifers offenbaren.
ist dafür vorgesehen, SSH- und Telnet-Verbindungen aufzuzeichnen.Solche Honeypots werden häufig ins Internet geschaltet, um Werkzeuge, Skripte und Hosts von Angreifern zu verfolgen.
Meine Botschaft an Unternehmen, die denken, dass sie nicht angegriffen werden: „Sie suchen schlecht.“
– James Snook

Was steht in den Protokollen?
Die Gesamtanzahl der Verbindungen
Mehrere Verbindungsversuche von verschiedenen Hosts sind eingegangen. Das ist normal, da Angreiferskripte eine Liste von Anmeldedaten enthalten und verschiedene Kombinationen ausprobieren. Der Honeypot Cowrie ist so konfiguriert, dass er bestimmte Kombinationen von Benutzernamen und Passwort akzeptiert. Dies kann in der Datei user.db.

Geografie der Angriffe
Basierend auf den Geolokalisierungsdaten von Maxmind habe ich die Anzahl der Verbindungen aus jedem Land gezählt. Brasilien und China führen mit großem Abstand, aus diesen Ländern kommen oft viele Geräusche von Scannern.

Inhaber des Netzwerkblocks
Die Untersuchung der Inhaber von Netzwerkblöcken (ASN) kann Organisationen mit einer Vielzahl von angreifenden Hosts aufdecken. Natürlich sollte man in solchen Fällen immer bedenken, dass viele Angriffe von infizierten Hosts ausgehen. Es ist vernünftig anzunehmen, dass die meisten Angreifer nicht so dumm sind, das Netzwerk von einem Heimcomputer aus zu scannen.

Offene Ports auf den angreifenden Systemen (Daten von Shodan.io)
Das Durchlaufen der IP-Liste durch das hervorragende bestimmt schnell Systeme mit offenen Ports Und was sind das für Ports? Im Bild unten wird die Konzentration offener Ports nach Ländern und Organisationen dargestellt. Man könnte Blöcke kompromittierter Systeme identifizieren, aber innerhalb einer kleinen Stichprobe ist nichts Außergewöhnliches zu sehen, abgesehen von einer großen Anzahl offener Ports 500 in China..
Eine interessante Entdeckung ist, dass eine große Anzahl von Systemen in Brasilien Ports 22 und 23 nicht geöffnet hat. oder andere Ports, laut den Daten von Censys und Shodan. Anscheinend handelt es sich um Verbindungen von Endbenutzercomputern.

Bots? Nicht unbedingt.
Daten zeigte an diesem Tag seltsame Ergebnisse für die Ports 22 und 23. Ich vermutete, dass die meisten Scans und Passwortangriffe von Bots ausgehen. Ein Skript verbreitet sich über offene Ports, versucht Passwörter zu knacken und kopiert sich selbst von einem neuen System, um sich weiterhin auf dieselbe Weise zu verbreiten.
Aber hier ist zu erkennen, dass nur bei einer kleinen Anzahl von Hosts, die Telnet scannen, der Port 23 nach außen geöffnet ist. Das bedeutet, dass die Systeme entweder auf andere Weise kompromittiert wurden oder dass Angreifer Skripte manuell ausführen.

Heimverbindungen
Eine weitere interessante Entdeckung war die große Anzahl von Heimnutzern in der Stichprobe. Mit Hilfe von Rückblick Ich habe 105 Verbindungen von bestimmten Heimcomputern identifiziert. Bei vielen Heimverbindungen wird beim Rückblick der DNS-Name mit den Wörtern dsl, home, cable, fiber usw. angezeigt.

Lernen und erkunden: Richten Sie Ihren eigenen Honeypot ein
Ich habe kürzlich eine kurze Anleitung geschrieben, wie . Wie bereits erwähnt, wurde in unserem Fall ein Digital Ocean VPS in Singapur verwendet. Die Kosten für die Analyse über 24 Stunden betrugen buchstäblich nur wenige Cent, und die Zeit für die Einrichtung des Systems betrug 30 Minuten.
Anstatt Cowrie im Internet zu betreiben und den gesamten Lärm aufzufangen, kann man die Vorteile des Honeypots im lokalen Netzwerk nutzen. Man richtet einfach eine Benachrichtigung ein, wenn auf bestimmte Ports Anfragen eingehen. Das könnte entweder ein Angreifer im Netzwerk, ein neugieriger Mitarbeiter oder ein Schwachstellenscan sein.
Fazit
Nach der Beobachtung der Aktivitäten von Angreifern über einen Tag wird klar, dass es unmöglich ist, eine eindeutige Quelle für Angriffe einer bestimmten Organisation, eines Landes oder sogar eines Betriebssystems zu benennen.
Die weit verbreiteten Quellen zeigen, dass das Scanrauschen konstant ist und nicht mit einer bestimmten Quelle assoziiert wird. Jeder, der im Internet tätig ist, sollte sicherstellen, dass sein System mehrere Sicherheitsstufen. Eine gängige und effektive Lösung für SSH die Migration des Dienstes auf einen zufälligen hohen Port. Dies eliminiert nicht die Notwendigkeit für strenge Passwortsicherheit und Überwachung, gewährleistet aber zumindest, dass die Protokolle nicht durch kontinuierliches Scannen überlastet werden. Verbindungen zu hohen Ports sind mit größerer Wahrscheinlichkeit gezielte Angriffe, die von Interesse sein könnten.
Häufig sind offene Telnet-Ports auf Routern oder anderen Geräten zu finden, sodass sie nicht einfach auf einen hohen Port verschoben werden können. und sind der einzige Weg, um sicherzustellen, dass diese Dienste durch eine Firewall geschützt oder deaktiviert sind. Wo möglich, sollte Telnet überhaupt nicht verwendet werden, da dieses Protokoll nicht verschlüsselt ist. Wenn es erforderlich ist und nicht anders geht, sollten Sie es sorgfältig überwachen und sichere Passwörter verwenden.
Quelle: habr.com
