24 tunni statistika pärast meepoti paigaldamist Digital Oceani sõlme Singapuris

Pew Pew! Alustame kohe rünnakukaardiga

Meie ülilahe kaart näitab ainulaadseid ASN-e, mis ühendusid meie Cowrie meepotiga 24 tunni jooksul. Kollane vastab SSH-ühendustele ja punane Telnetile. Sellised animatsioonid avaldavad sageli muljet ettevõtte direktorite nõukogule, mis võib aidata tagada turvalisuse ja ressursside suuremat rahastamist. Siiski on kaardil teatud väärtus, mis näitab selgelt meie hosti rünnakuallikate geograafilist ja organisatsioonilist levikut vaid 24 tunni jooksul. Animatsioon ei kajasta iga allika liiklust.

Mis on Pew Pew kaart?

Pew Pew kaart - Kas küberrünnakute visualiseerimine, tavaliselt animeeritud ja väga ilus. See on väljamõeldud viis oma toote müümiseks, mida kurikuulsalt kasutab Norse Corp. Ettevõte lõppes halvasti: selgus, et ilusad animatsioonid olid nende ainus eelis ja analüüsimiseks kasutati fragmentaarseid andmeid.

Valmistatud Leafletjsiga

Neile, kes soovivad kavandada operatsioonikeskuse suurele ekraanile rünnakukaarti (teie ülemusele see meeldib), on raamatukogu voldikud. Ühendame selle pistikprogrammiga lendlehtede rändekiht, Maxmind GeoIP teenus - ja tehtud.

WTF: mis see Cowrie meepott on?

Honeypot on süsteem, mis paigutatakse võrku spetsiaalselt ründajate meelitamiseks. Ühendused süsteemiga on tavaliselt ebaseaduslikud ja võimaldavad teil tuvastada ründaja üksikasjalike logide abil. Logid ei salvesta mitte ainult tavapärast ühenduseteavet, vaid ka seansi teavet, mis paljastab tehnikad, taktikad ja protseduurid (TTP) sissetungija.

Honeypot Cowrie loodud SSH ja Telneti ühenduse kirjed. Sellised meepotid pannakse sageli Internetti, et jälgida ründajate tööriistu, skripte ja hoste.

Minu sõnum ettevõtetele, kes arvavad, et neid ei rünnata: "Te otsite kõvasti."
- James Snook

Mis on logides?

Ühenduste koguarv

Paljud hostid üritasid korduvalt ühendust luua. See on normaalne, kuna ründeskriptidel on täielik volikirjade loend ja nad proovivad mitut kombinatsiooni. Cowrie Honeypot on konfigureeritud aktsepteerima teatud kasutajanime ja parooli kombinatsioone. See on konfigureeritud user.db faili.

Rünnakute geograafia

Kasutades Maxmindi geograafilise asukoha andmeid, lugesin igast riigist ühenduste arvu. Brasiilia ja Hiina juhivad suure edumaaga ning nendest riikidest tulevad skannerid kostab sageli palju müra.

Võrguploki omanik

Võrguplokkide (ASN) omanike uurimine võib tuvastada organisatsioone, millel on suur hulk ründavaid hoste. Loomulikult peaksite sellistel juhtudel alati meeles pidama, et paljud rünnakud pärinevad nakatunud peremeestest. On mõistlik eeldada, et enamik ründajaid pole piisavalt rumalad, et koduarvutist võrku skannida.

Avage ründesüsteemide pordid (andmed saidilt Shodan.io)

IP-loendi käitamine läbi suurepärase Shodani API tuvastab kiiresti avatud pordiga süsteemid ja mis need pordid on? Alloleval joonisel on näidatud avatud sadamate kontsentratsioon riikide ja organisatsioonide lõikes. Võimalik oleks tuvastada ohustatud süsteemide plokid, kuid sees väike proov midagi silmapaistvat pole näha, välja arvatud suur hulk Hiinas on avatud 500 sadamat.

Huvitav leid on suur hulk süsteeme Brasiilias pole avatud 22., 23 või muud sadamad, vastavalt Censysile ja Shodanile. Ilmselt on need ühendused lõppkasutaja arvutitest.

Botid? Ei ole vajalik

Andmed Censys sadamate 22 ja 23 puhul näitasid nad sel päeval midagi imelikku. Eeldasin, et enamik skaneeringuid ja paroolirünnakuid pärinevad robotitelt. Skript levib avatud portide kaudu, arvab paroole ja kopeerib end uuest süsteemist ning jätkab levikut sama meetodit kasutades.

Kuid siin on näha, et vaid vähesel arvul telneti skannivatel hostidel on väljapoole avatud port 23. See tähendab, et süsteemid on muul viisil ohustatud või ründajad käivitavad skripte käsitsi.

Koduühendused

Veel üks huvitav leid oli kodukasutajate suur hulk valimis. Kasutades pöördotsing Tuvastasin 105 ühendust konkreetsetest koduarvutitest. Paljude koduühenduste puhul kuvab DNS-i pöördotsing hostinime koos sõnadega dsl, home, cable, fiber jne.

Õppige ja avastage: kasvatage oma meepotti

Kirjutasin hiljuti lühikese õpetuse, kuidas seda teha installige oma süsteemi Cowrie honeypot. Nagu juba mainitud, kasutasime meie puhul Singapuris Digital Ocean VPS-i. 24-tunnise analüüsi hind oli sõna otseses mõttes paar senti ja süsteemi kokkupanekuks kulus 30 minutit.

Selle asemel, et Cowrie'd Internetis käivitada ja kogu müra kinni püüda, saate oma kohaliku võrgu meepotist kasu saada. Seadistage pidevalt märguanne, kui teatud pordidesse saadetakse päringuid. See on kas võrgusisene ründaja või uudishimulik töötaja või haavatavuse kontroll.

Järeldused

Vaadates ründajate tegevust XNUMX-tunnise perioodi jooksul, selgub, et üheski organisatsioonis, riigis või isegi operatsioonisüsteemis on võimatu tuvastada selget ründeallikat.

Allikate lai jaotus näitab, et skaneerimise müra on konstantne ega ole seotud konkreetse allikaga. Igaüks, kes töötab Internetis, peab tagama, et nende süsteem mitu turvataset. Levinud ja tõhus lahendus SSH teenus liigub juhuslikku kõrgesse porti. See ei välista vajadust range paroolikaitse ja jälgimise järele, kuid tagab vähemalt selle, et logisid ei ummistaks pidev skaneerimine. Suure pordiga ühendused on tõenäolisemalt suunatud rünnakud, mis võivad teile huvi pakkuda.

Sageli on avatud telneti pordid ruuteritel või muudel seadmetel, nii et neid ei saa kergesti kõrgesse porti teisaldada. Teave kõigi avatud portide kohta и ründepind on ainus viis tagada nende teenuste tulemüür või keelamine. Kui võimalik, ärge Telneti üldse kasutage, see protokoll pole krüptitud. Kui vajate seda ja ei saa ilma selleta hakkama, jälgige seda hoolikalt ja kasutage tugevaid paroole.

Allikas: www.habr.com