ProHoster > Blog > διαχείριση > Ανάλυση επιθέσεων στο honeypot Cowrie

Ανάλυση επιθέσεων στο honeypot Cowrie

Στατιστικά στοιχεία για 24 ώρες μετά την εγκατάσταση ενός honeypot σε έναν κόμβο Digital Ocean στη Σιγκαπούρη

Pew Pew! Ας ξεκινήσουμε αμέσως με τον χάρτη επίθεσης

Ο εξαιρετικά δροσερός χάρτης μας δείχνει τα μοναδικά ASN που συνδέθηκαν στο Cowrie honeypot μέσα σε 24 ώρες. Το κίτρινο αντιστοιχεί σε συνδέσεις SSH και το κόκκινο αντιστοιχεί στο Telnet. Τέτοια κινούμενα σχέδια συχνά εντυπωσιάζουν το διοικητικό συμβούλιο της εταιρείας, κάτι που μπορεί να βοηθήσει στην εξασφάλιση περισσότερης χρηματοδότησης για την ασφάλεια και τους πόρους. Ωστόσο, ο χάρτης έχει κάποια αξία, δείχνοντας ξεκάθαρα τη γεωγραφική και οργανωτική εξάπλωση των πηγών επίθεσης στον οικοδεσπότη μας μέσα σε μόλις 24 ώρες. Η κινούμενη εικόνα δεν αντικατοπτρίζει τον όγκο της επισκεψιμότητας από κάθε πηγή.

Τι είναι ένας χάρτης Pew Pew;

Χάρτης Pew Pew - Είναι οπτικοποίηση επιθέσεων στον κυβερνοχώρο, συνήθως κινούμενα και πολύ όμορφα. Είναι ένας φανταχτερός τρόπος να πουλήσετε το προϊόν σας, που χρησιμοποιείται διαβόητα από τη Norse Corp. Η εταιρεία τελείωσε άσχημα: αποδείχθηκε ότι τα όμορφα κινούμενα σχέδια ήταν το μόνο τους πλεονέκτημα και χρησιμοποίησαν αποσπασματικά δεδομένα για ανάλυση.

Φτιαγμένο με Leafletjs

Για όσους θέλουν να σχεδιάσουν έναν χάρτη επίθεσης για τη μεγάλη οθόνη στο κέντρο επιχειρήσεων (το αφεντικό σας θα το λατρέψει), υπάρχει μια βιβλιοθήκη φυλλάδια. Το συνδυάζουμε με το πρόσθετο στρώμα μετανάστευσης φυλλαδίου, Υπηρεσία Maxmind GeoIP - και έγινε.

Ανάλυση επιθέσεων στο honeypot Cowrie

WTF: τι είναι αυτό το honeypot Cowrie;

Το Honeypot είναι ένα σύστημα που τοποθετείται στο δίκτυο ειδικά για να δελεάσει τους επιτιθέμενους. Οι συνδέσεις με το σύστημα είναι συνήθως παράνομες και σας επιτρέπουν να εντοπίσετε τον εισβολέα χρησιμοποιώντας λεπτομερή αρχεία καταγραφής. Τα αρχεία καταγραφής αποθηκεύουν όχι μόνο πληροφορίες κανονικής σύνδεσης, αλλά και πληροφορίες συνεδρίας που αποκαλύπτουν τεχνικές, τακτικές και διαδικασίες (TTP) παρείσακτος.

Honeypot Cowrie δημιουργήθηκε για Εγγραφές σύνδεσης SSH και Telnet. Τέτοια honeypot τοποθετούνται συχνά στο Διαδίκτυο για να παρακολουθούν τα εργαλεία, τα σενάρια και τους κεντρικούς υπολογιστές των επιτιθέμενων.

Το μήνυμά μου προς τις εταιρείες που πιστεύουν ότι δεν θα τους επιτεθούν: «Ψάχνετε σκληρά».
— Τζέιμς Σνουκ

Ανάλυση επιθέσεων στο honeypot Cowrie

Τι υπάρχει στα αρχεία καταγραφής;

Συνολικός αριθμός συνδέσεων

Υπήρξαν επανειλημμένες προσπάθειες σύνδεσης από πολλούς οικοδεσπότες. Αυτό είναι φυσιολογικό, καθώς τα σενάρια επίθεσης έχουν μια πλήρη λίστα διαπιστευτηρίων και δοκιμάζουν αρκετούς συνδυασμούς. Το Cowrie Honeypot έχει ρυθμιστεί ώστε να δέχεται συγκεκριμένους συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης. Αυτό έχει ρυθμιστεί σε αρχείο user.db.

Ανάλυση επιθέσεων στο honeypot Cowrie

Γεωγραφία επιθέσεων

Χρησιμοποιώντας δεδομένα γεωγραφικής τοποθεσίας Maxmind, μέτρησα τον αριθμό των συνδέσεων από κάθε χώρα. Η Βραζιλία και η Κίνα προηγούνται με μεγάλη διαφορά και συχνά υπάρχει πολύς θόρυβος από σαρωτές που προέρχονται από αυτές τις χώρες.

Ανάλυση επιθέσεων στο honeypot Cowrie

Κάτοχος μπλοκ δικτύου

Η έρευνα για τους κατόχους μπλοκ δικτύου (ASN) μπορεί να εντοπίσει οργανισμούς με μεγάλο αριθμό κεντρικών υπολογιστών που επιτίθενται. Φυσικά, σε τέτοιες περιπτώσεις θα πρέπει πάντα να θυμάστε ότι πολλές επιθέσεις προέρχονται από μολυσμένους οικοδεσπότες. Είναι λογικό να υποθέσουμε ότι οι περισσότεροι εισβολείς δεν είναι αρκετά ανόητοι για να σαρώσουν το Δίκτυο από έναν οικιακό υπολογιστή.

Ανάλυση επιθέσεων στο honeypot Cowrie

Ανοιχτές θύρες σε συστήματα επίθεσης (δεδομένα από το Shodan.io)

Εκτέλεση της λίστας IP μέσω εξαιρετικής Shodan API αναγνωρίζει γρήγορα συστήματα με ανοιχτές θύρες και ποιες είναι αυτές οι θύρες; Το παρακάτω σχήμα δείχνει τη συγκέντρωση των ανοιχτών λιμένων ανά χώρα και οργανισμό. Θα ήταν δυνατό να εντοπιστούν μπλοκ παραβιασμένων συστημάτων, αλλά εντός μικρό δείγμα τίποτα το εξαιρετικό δεν είναι ορατό, εκτός από έναν μεγάλο αριθμό 500 ανοιχτά λιμάνια στην Κίνα.

Ένα ενδιαφέρον εύρημα είναι ο μεγάλος αριθμός συστημάτων στη Βραζιλία που έχουν δεν είναι ανοιχτό 22, 23 ή άλλα λιμάνια, σύμφωνα με τους Censys και Shodan. Προφανώς πρόκειται για συνδέσεις από υπολογιστές τελικού χρήστη.

Ανάλυση επιθέσεων στο honeypot Cowrie

Bots; Οχι απαραίτητο

Δεδομένα λογοκρισία για τις θύρες 22 και 23 έδειξαν κάτι περίεργο εκείνη τη μέρα. Υπέθεσα ότι οι περισσότερες σαρώσεις και επιθέσεις με κωδικό πρόσβασης προέρχονται από bots. Το σενάριο εξαπλώνεται σε ανοιχτές θύρες, μαντεύοντας κωδικούς πρόσβασης και αντιγράφεται από το νέο σύστημα και συνεχίζει να εξαπλώνεται χρησιμοποιώντας την ίδια μέθοδο.

Αλλά εδώ μπορείτε να δείτε ότι μόνο ένας μικρός αριθμός κεντρικών υπολογιστών που σαρώνουν telnet έχουν ανοιχτή προς τα έξω τη θύρα 23. Αυτό σημαίνει ότι τα συστήματα είτε έχουν παραβιαστεί με κάποιο άλλο τρόπο είτε οι εισβολείς εκτελούν χειροκίνητα σενάρια.

Ανάλυση επιθέσεων στο honeypot Cowrie

Συνδέσεις στο σπίτι

Ένα άλλο ενδιαφέρον εύρημα ήταν ο μεγάλος αριθμός οικιακών χρηστών στο δείγμα. Με τη χρήση αντίστροφη αναζήτηση Αναγνώρισα 105 συνδέσεις από συγκεκριμένους οικιακούς υπολογιστές. Για πολλές οικιακές συνδέσεις, μια αντίστροφη αναζήτηση DNS εμφανίζει το όνομα κεντρικού υπολογιστή με τις λέξεις dsl, home, cable, fiber και ούτω καθεξής.

Ανάλυση επιθέσεων στο honeypot Cowrie

Μάθετε και εξερευνήστε: Ανεβάστε το δικό σας Honeypot

Πρόσφατα έγραψα ένα σύντομο σεμινάριο για το πώς να το κάνετε εγκαταστήστε το Cowrie honeypot στο σύστημά σας. Όπως ήδη αναφέρθηκε, στην περίπτωσή μας χρησιμοποιήσαμε Digital Ocean VPS στη Σιγκαπούρη. Για 24 ώρες ανάλυσης, το κόστος ήταν κυριολεκτικά μερικά σεντς και ο χρόνος για τη συναρμολόγηση του συστήματος ήταν 30 λεπτά.

Αντί να τρέχετε το Cowrie στο Διαδίκτυο και να πιάνετε όλο τον θόρυβο, μπορείτε να επωφεληθείτε από το honeypot στο τοπικό σας δίκτυο. Ρυθμίστε συνεχώς μια ειδοποίηση εάν αποστέλλονται αιτήματα σε ορισμένες θύρες. Αυτό είναι είτε ένας εισβολέας μέσα στο δίκτυο, είτε ένας περίεργος υπάλληλος, είτε μια σάρωση ευπάθειας.

Ευρήματα

Μετά την προβολή των ενεργειών των εισβολέων σε μια περίοδο XNUMX ωρών, γίνεται σαφές ότι είναι αδύνατο να εντοπιστεί μια ξεκάθαρη πηγή επιθέσεων σε οποιονδήποτε οργανισμό, χώρα ή ακόμα και λειτουργικό σύστημα.

Η ευρεία κατανομή των πηγών δείχνει ότι ο θόρυβος σάρωσης είναι σταθερός και δεν σχετίζεται με μια συγκεκριμένη πηγή. Όποιος εργάζεται στο Διαδίκτυο πρέπει να διασφαλίσει ότι το σύστημά του διάφορα επίπεδα ασφάλειας. Μια κοινή και αποτελεσματική λύση για SSH η υπηρεσία θα μετακινηθεί σε μια τυχαία θύρα υψηλής. Αυτό δεν εξαλείφει την ανάγκη για αυστηρή προστασία με κωδικό πρόσβασης και παρακολούθηση, αλλά τουλάχιστον διασφαλίζει ότι τα αρχεία καταγραφής δεν φράσσονται από τη συνεχή σάρωση. Οι συνδέσεις υψηλής θύρας είναι πιο πιθανό να είναι στοχευμένες επιθέσεις, οι οποίες μπορεί να σας ενδιαφέρουν.

Συχνά οι ανοιχτές θύρες telnet βρίσκονται σε δρομολογητές ή άλλες συσκευές, επομένως δεν μπορούν εύκολα να μετακινηθούν σε θύρα υψηλής ταχύτητας. Πληροφορίες για όλες τις ανοιχτές θύρες и επιφάνεια επίθεσης είναι ο μόνος τρόπος για να διασφαλιστεί ότι αυτές οι υπηρεσίες είναι τείχη προστασίας ή απενεργοποιημένες. Εάν είναι δυνατόν, δεν πρέπει να χρησιμοποιείτε καθόλου Telnet· αυτό το πρωτόκολλο δεν είναι κρυπτογραφημένο. Εάν το χρειάζεστε και δεν μπορείτε να το κάνετε χωρίς αυτό, τότε παρακολουθήστε το προσεκτικά και χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο