Στατιστικά στοιχεία για 24 ώρες μετά την εγκατάσταση ενός honeypot σε έναν κόμβο Digital Ocean στη Σιγκαπούρη
Pew Pew! Ας ξεκινήσουμε αμέσως με τον χάρτη επίθεσης
Ο εξαιρετικά δροσερός χάρτης μας δείχνει τα μοναδικά ASN που συνδέθηκαν στο Cowrie honeypot μέσα σε 24 ώρες. Το κίτρινο αντιστοιχεί σε συνδέσεις SSH και το κόκκινο αντιστοιχεί στο Telnet. Τέτοια κινούμενα σχέδια συχνά εντυπωσιάζουν το διοικητικό συμβούλιο της εταιρείας, κάτι που μπορεί να βοηθήσει στην εξασφάλιση περισσότερης χρηματοδότησης για την ασφάλεια και τους πόρους. Ωστόσο, ο χάρτης έχει κάποια αξία, δείχνοντας ξεκάθαρα τη γεωγραφική και οργανωτική εξάπλωση των πηγών επίθεσης στον οικοδεσπότη μας μέσα σε μόλις 24 ώρες. Η κινούμενη εικόνα δεν αντικατοπτρίζει τον όγκο της επισκεψιμότητας από κάθε πηγή.
Τι είναι ένας χάρτης Pew Pew;
Χάρτης Pew Pew - Είναι
Φτιαγμένο με Leafletjs
Για όσους θέλουν να σχεδιάσουν έναν χάρτη επίθεσης για τη μεγάλη οθόνη στο κέντρο επιχειρήσεων (το αφεντικό σας θα το λατρέψει), υπάρχει μια βιβλιοθήκη
WTF: τι είναι αυτό το honeypot Cowrie;
Το Honeypot είναι ένα σύστημα που τοποθετείται στο δίκτυο ειδικά για να δελεάσει τους επιτιθέμενους. Οι συνδέσεις με το σύστημα είναι συνήθως παράνομες και σας επιτρέπουν να εντοπίσετε τον εισβολέα χρησιμοποιώντας λεπτομερή αρχεία καταγραφής. Τα αρχεία καταγραφής αποθηκεύουν όχι μόνο πληροφορίες κανονικής σύνδεσης, αλλά και πληροφορίες συνεδρίας που αποκαλύπτουν τεχνικές, τακτικές και διαδικασίες (TTP) παρείσακτος.
Το μήνυμά μου προς τις εταιρείες που πιστεύουν ότι δεν θα τους επιτεθούν: «Ψάχνετε σκληρά».
— Τζέιμς Σνουκ
Τι υπάρχει στα αρχεία καταγραφής;
Συνολικός αριθμός συνδέσεων
Υπήρξαν επανειλημμένες προσπάθειες σύνδεσης από πολλούς οικοδεσπότες. Αυτό είναι φυσιολογικό, καθώς τα σενάρια επίθεσης έχουν μια πλήρη λίστα διαπιστευτηρίων και δοκιμάζουν αρκετούς συνδυασμούς. Το Cowrie Honeypot έχει ρυθμιστεί ώστε να δέχεται συγκεκριμένους συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης. Αυτό έχει ρυθμιστεί σε αρχείο user.db.
Γεωγραφία επιθέσεων
Χρησιμοποιώντας δεδομένα γεωγραφικής τοποθεσίας Maxmind, μέτρησα τον αριθμό των συνδέσεων από κάθε χώρα. Η Βραζιλία και η Κίνα προηγούνται με μεγάλη διαφορά και συχνά υπάρχει πολύς θόρυβος από σαρωτές που προέρχονται από αυτές τις χώρες.
Κάτοχος μπλοκ δικτύου
Η έρευνα για τους κατόχους μπλοκ δικτύου (ASN) μπορεί να εντοπίσει οργανισμούς με μεγάλο αριθμό κεντρικών υπολογιστών που επιτίθενται. Φυσικά, σε τέτοιες περιπτώσεις θα πρέπει πάντα να θυμάστε ότι πολλές επιθέσεις προέρχονται από μολυσμένους οικοδεσπότες. Είναι λογικό να υποθέσουμε ότι οι περισσότεροι εισβολείς δεν είναι αρκετά ανόητοι για να σαρώσουν το Δίκτυο από έναν οικιακό υπολογιστή.
Ανοιχτές θύρες σε συστήματα επίθεσης (δεδομένα από το Shodan.io)
Εκτέλεση της λίστας IP μέσω εξαιρετικής
Ένα ενδιαφέρον εύρημα είναι ο μεγάλος αριθμός συστημάτων στη Βραζιλία που έχουν δεν είναι ανοιχτό 22, 23 ή άλλα λιμάνια, σύμφωνα με τους Censys και Shodan. Προφανώς πρόκειται για συνδέσεις από υπολογιστές τελικού χρήστη.
Bots; Οχι απαραίτητο
Δεδομένα
Αλλά εδώ μπορείτε να δείτε ότι μόνο ένας μικρός αριθμός κεντρικών υπολογιστών που σαρώνουν telnet έχουν ανοιχτή προς τα έξω τη θύρα 23. Αυτό σημαίνει ότι τα συστήματα είτε έχουν παραβιαστεί με κάποιο άλλο τρόπο είτε οι εισβολείς εκτελούν χειροκίνητα σενάρια.
Συνδέσεις στο σπίτι
Ένα άλλο ενδιαφέρον εύρημα ήταν ο μεγάλος αριθμός οικιακών χρηστών στο δείγμα. Με τη χρήση αντίστροφη αναζήτηση Αναγνώρισα 105 συνδέσεις από συγκεκριμένους οικιακούς υπολογιστές. Για πολλές οικιακές συνδέσεις, μια αντίστροφη αναζήτηση DNS εμφανίζει το όνομα κεντρικού υπολογιστή με τις λέξεις dsl, home, cable, fiber και ούτω καθεξής.
Μάθετε και εξερευνήστε: Ανεβάστε το δικό σας Honeypot
Πρόσφατα έγραψα ένα σύντομο σεμινάριο για το πώς να το κάνετε
Αντί να τρέχετε το Cowrie στο Διαδίκτυο και να πιάνετε όλο τον θόρυβο, μπορείτε να επωφεληθείτε από το honeypot στο τοπικό σας δίκτυο. Ρυθμίστε συνεχώς μια ειδοποίηση εάν αποστέλλονται αιτήματα σε ορισμένες θύρες. Αυτό είναι είτε ένας εισβολέας μέσα στο δίκτυο, είτε ένας περίεργος υπάλληλος, είτε μια σάρωση ευπάθειας.
Ευρήματα
Μετά την προβολή των ενεργειών των εισβολέων σε μια περίοδο XNUMX ωρών, γίνεται σαφές ότι είναι αδύνατο να εντοπιστεί μια ξεκάθαρη πηγή επιθέσεων σε οποιονδήποτε οργανισμό, χώρα ή ακόμα και λειτουργικό σύστημα.
Η ευρεία κατανομή των πηγών δείχνει ότι ο θόρυβος σάρωσης είναι σταθερός και δεν σχετίζεται με μια συγκεκριμένη πηγή. Όποιος εργάζεται στο Διαδίκτυο πρέπει να διασφαλίσει ότι το σύστημά του διάφορα επίπεδα ασφάλειας. Μια κοινή και αποτελεσματική λύση για SSH η υπηρεσία θα μετακινηθεί σε μια τυχαία θύρα υψηλής. Αυτό δεν εξαλείφει την ανάγκη για αυστηρή προστασία με κωδικό πρόσβασης και παρακολούθηση, αλλά τουλάχιστον διασφαλίζει ότι τα αρχεία καταγραφής δεν φράσσονται από τη συνεχή σάρωση. Οι συνδέσεις υψηλής θύρας είναι πιο πιθανό να είναι στοχευμένες επιθέσεις, οι οποίες μπορεί να σας ενδιαφέρουν.
Συχνά οι ανοιχτές θύρες telnet βρίσκονται σε δρομολογητές ή άλλες συσκευές, επομένως δεν μπορούν εύκολα να μετακινηθούν σε θύρα υψηλής ταχύτητας.
Πηγή: www.habr.com