Estadísticas de 24 horas después de instalar un honeypot en un nodo de Digital Ocean en Singapur
¡banco, banco! Empecemos ahora mismo con el mapa de ataque.
Nuestro mapa genial muestra los ASN únicos que se conectaron a nuestro honeypot Cowrie en 24 horas. El amarillo corresponde a conexiones SSH y el rojo corresponde a Telnet. Este tipo de animaciones suelen impresionar a la junta directiva de la empresa, lo que puede ayudar a conseguir más financiación para seguridad y recursos. Sin embargo, el mapa tiene cierto valor, ya que muestra claramente la distribución geográfica y organizativa de las fuentes de ataque en nuestro host en sólo 24 horas. La animación no refleja la cantidad de tráfico de cada fuente.
¿Qué es un mapa de Pew Pew?
Mapa de Pew Pew - es , normalmente animada y muy bonita. Es una forma elegante de vender su producto, utilizada infamemente por Norse Corp. La empresa terminó mal: resultó que las hermosas animaciones eran su única ventaja y utilizaron datos fragmentarios para el análisis.
Hecho con Leafletjs
Para aquellos que quieran diseñar un mapa de ataque para la pantalla grande en el centro de operaciones (a su jefe le encantará), hay una biblioteca. . Lo combinamos con el complemento. , Servicio Maxmind GeoIP - .
WTF: ¿qué es este honeypot Cowrie?
Honeypot es un sistema que se coloca en la red específicamente para atraer a los atacantes. Las conexiones al sistema suelen ser ilegales y permiten detectar al atacante mediante registros detallados. Los registros almacenan no sólo información de conexión regular, sino también información de sesión que revela técnicas, tácticas y procedimientos (TTP) intruso.
creado para Registros de conexión SSH y Telnet. Estos honeypots suelen colocarse en Internet para rastrear las herramientas, los scripts y los hosts de los atacantes.
Mi mensaje a las empresas que creen que no serán atacadas: "Están buscando con atención".
-James Snook
¿Qué hay en los registros?
Número total de conexiones
Hubo repetidos intentos de conexión desde muchos hosts. Esto es normal, ya que los scripts de ataque tienen una lista completa de credenciales y prueban varias combinaciones. Cowrie Honeypot está configurado para aceptar ciertas combinaciones de nombre de usuario y contraseña. Esto está configurado en archivo usuario.db.
Geografía de los ataques
Utilizando los datos de geolocalización de Maxmind, conté el número de conexiones de cada país. Brasil y China van a la cabeza por un amplio margen y, a menudo, hay mucho ruido por parte de los escáneres procedentes de estos países.
Propietario del bloque de red
La investigación de los propietarios de bloques de red (ASN) puede identificar organizaciones con una gran cantidad de hosts atacantes. Por supuesto, en tales casos siempre debes recordar que muchos ataques provienen de hosts infectados. Es razonable suponer que la mayoría de los atacantes no son tan estúpidos como para escanear la red desde una computadora doméstica.
Puertos abiertos en sistemas atacantes (datos de Shodan.io)
Ejecutando la lista de IP a través de excelente identifica rápidamente sistemas con puertos abiertos ¿Y cuáles son estos puertos? La siguiente figura muestra la concentración de puertos abiertos por país y organización. Sería posible identificar bloques de sistemas comprometidos, pero dentro de pequeña muestra no se ve nada sobresaliente, excepto un gran número 500 puertos abiertos en China.
Un hallazgo interesante es la gran cantidad de sistemas en Brasil que tienen no abierto 22, 23 o otros puertos, según Censys y Shodan. Al parecer se trata de conexiones procedentes de ordenadores de usuarios finales.
¿Botines? No es necesario
Datos para los puertos 22 y 23 mostraron algo extraño ese día. Supuse que la mayoría de los análisis y ataques de contraseñas provienen de bots. El script se propaga a través de puertos abiertos, adivina contraseñas, se copia a sí mismo del nuevo sistema y continúa propagándose utilizando el mismo método.
Pero aquí puede ver que sólo una pequeña cantidad de hosts que escanean telnet tienen abierto el puerto 23. Esto significa que los sistemas están comprometidos de alguna otra manera o los atacantes están ejecutando scripts manualmente.
Conexiones domiciliarias
Otro hallazgo interesante fue el gran número de usuarios domésticos de la muestra. Mediante el uso búsqueda inversa Identifiqué 105 conexiones desde computadoras domésticas específicas. Para muchas conexiones domésticas, una búsqueda de DNS inversa muestra el nombre de host con las palabras dsl, home, cable, fibre, etc.
Aprenda y explore: levante su propio Honeypot
Recientemente escribí un breve tutorial sobre cómo . Como ya mencionamos, en nuestro caso utilizamos Digital Ocean VPS en Singapur. Durante 24 horas de análisis, el costo fue literalmente de unos pocos centavos y el tiempo para ensamblar el sistema fue de 30 minutos.
En lugar de ejecutar Cowrie en Internet y captar todo el ruido, puede beneficiarse del honeypot en su red local. Configure constantemente una notificación si se envían solicitudes a determinados puertos. Se trata de un atacante dentro de la red, de un empleado curioso o de un análisis de vulnerabilidades.
Hallazgos
Después de observar las acciones de los atacantes durante un período de XNUMX horas, queda claro que es imposible identificar una fuente clara de ataques en cualquier organización, país o incluso sistema operativo.
La amplia distribución de fuentes muestra que el ruido de escaneo es constante y no está asociado con una fuente específica. Cualquiera que trabaje en Internet debe asegurarse de que su sistema varios niveles de seguridad. Una solución común y eficaz para SSH el servicio se trasladará a un puerto alto aleatorio. Esto no elimina la necesidad de una estricta protección y supervisión con contraseña, pero al menos garantiza que los registros no se obstruyan con un análisis constante. Es más probable que las conexiones de puertos altos sean ataques dirigidos, lo que puede ser de su interés.
A menudo, los puertos telnet abiertos se encuentran en enrutadores u otros dispositivos, por lo que no se pueden mover fácilmente a un puerto alto. и es la única manera de garantizar que estos servicios estén protegidos por firewall o deshabilitados. Si es posible, no debería utilizar Telnet en absoluto; este protocolo no está cifrado. Si lo necesita y no puede prescindir de él, vigílelo cuidadosamente y utilice contraseñas seguras.
Fuente: habr.com