24 tunni statistika pärast meepoti paigaldamist Digital Oceani sõlme Singapuris
Pew Pew! Alustame kohe rünnakukaardiga
Meie ülilahe kaart näitab ainulaadseid ASN-e, mis ühendusid meie Cowrie meepotiga 24 tunni jooksul. Kollane vastab SSH-ühendustele ja punane Telnetile. Sellised animatsioonid avaldavad sageli muljet ettevõtte direktorite nõukogule, mis võib aidata tagada turvalisuse ja ressursside suuremat rahastamist. Siiski on kaardil teatud väärtus, mis näitab selgelt meie hosti rünnakuallikate geograafilist ja organisatsioonilist levikut vaid 24 tunni jooksul. Animatsioon ei kajasta iga allika liiklust.
Mis on Pew Pew kaart?
Pew Pew kaart - Kas
Valmistatud Leafletjsiga
Neile, kes soovivad kavandada operatsioonikeskuse suurele ekraanile rünnakukaarti (teie ülemusele see meeldib), on raamatukogu
WTF: mis see Cowrie meepott on?
Honeypot on süsteem, mis paigutatakse võrku spetsiaalselt ründajate meelitamiseks. Ühendused süsteemiga on tavaliselt ebaseaduslikud ja võimaldavad teil tuvastada ründaja üksikasjalike logide abil. Logid ei salvesta mitte ainult tavapärast ühenduseteavet, vaid ka seansi teavet, mis paljastab tehnikad, taktikad ja protseduurid (TTP) sissetungija.
Minu sõnum ettevõtetele, kes arvavad, et neid ei rünnata: "Te otsite kõvasti."
- James Snook
Mis on logides?
Ühenduste koguarv
Paljud hostid üritasid korduvalt ühendust luua. See on normaalne, kuna ründeskriptidel on täielik volikirjade loend ja nad proovivad mitut kombinatsiooni. Cowrie Honeypot on konfigureeritud aktsepteerima teatud kasutajanime ja parooli kombinatsioone. See on konfigureeritud user.db faili.
Rünnakute geograafia
Kasutades Maxmindi geograafilise asukoha andmeid, lugesin igast riigist ühenduste arvu. Brasiilia ja Hiina juhivad suure edumaaga ning nendest riikidest tulevad skannerid kostab sageli palju müra.
Võrguploki omanik
Võrguplokkide (ASN) omanike uurimine võib tuvastada organisatsioone, millel on suur hulk ründavaid hoste. Loomulikult peaksite sellistel juhtudel alati meeles pidama, et paljud rünnakud pärinevad nakatunud peremeestest. On mõistlik eeldada, et enamik ründajaid pole piisavalt rumalad, et koduarvutist võrku skannida.
Avage ründesüsteemide pordid (andmed saidilt Shodan.io)
IP-loendi käitamine läbi suurepärase
Huvitav leid on suur hulk süsteeme Brasiilias pole avatud 22., 23 või muud sadamad, vastavalt Censysile ja Shodanile. Ilmselt on need ühendused lõppkasutaja arvutitest.
Botid? Ei ole vajalik
Andmed
Kuid siin on näha, et vaid vähesel arvul telneti skannivatel hostidel on väljapoole avatud port 23. See tähendab, et süsteemid on muul viisil ohustatud või ründajad käivitavad skripte käsitsi.
Koduühendused
Veel üks huvitav leid oli kodukasutajate suur hulk valimis. Kasutades pöördotsing Tuvastasin 105 ühendust konkreetsetest koduarvutitest. Paljude koduühenduste puhul kuvab DNS-i pöördotsing hostinime koos sõnadega dsl, home, cable, fiber jne.
Õppige ja avastage: kasvatage oma meepotti
Kirjutasin hiljuti lühikese õpetuse, kuidas seda teha
Selle asemel, et Cowrie'd Internetis käivitada ja kogu müra kinni püüda, saate oma kohaliku võrgu meepotist kasu saada. Seadistage pidevalt märguanne, kui teatud pordidesse saadetakse päringuid. See on kas võrgusisene ründaja või uudishimulik töötaja või haavatavuse kontroll.
Järeldused
Vaadates ründajate tegevust XNUMX-tunnise perioodi jooksul, selgub, et üheski organisatsioonis, riigis või isegi operatsioonisüsteemis on võimatu tuvastada selget ründeallikat.
Allikate lai jaotus näitab, et skaneerimise müra on konstantne ega ole seotud konkreetse allikaga. Igaüks, kes töötab Internetis, peab tagama, et nende süsteem mitu turvataset. Levinud ja tõhus lahendus SSH teenus liigub juhuslikku kõrgesse porti. See ei välista vajadust range paroolikaitse ja jälgimise järele, kuid tagab vähemalt selle, et logisid ei ummistaks pidev skaneerimine. Suure pordiga ühendused on tõenäolisemalt suunatud rünnakud, mis võivad teile huvi pakkuda.
Sageli on avatud telneti pordid ruuteritel või muudel seadmetel, nii et neid ei saa kergesti kõrgesse porti teisaldada.
Allikas: www.habr.com