Singapurreko Digital Ocean nodo batean honeypot bat instalatu ondoren 24 orduko estatistikak
Pew Pew! Has gaitezen berehala eraso maparekin
Gure mapa oso politak 24 orduko epean gure Cowrie honeypotera konektatzen diren ASN bereziak erakusten ditu. Horia SSH konexioei dagokie eta gorria Telnet-i. Horrelako animazioek maiz hunkitzen dute konpainiaren zuzendaritza batzordea, eta horrek segurtasun eta baliabideetarako finantzaketa gehiago lortzen lagun dezake. Hala ere, mapak badu nolabaiteko balio, eta argi eta garbi erakusten du gure ostalariaren eraso iturrien hedapen geografikoa eta antolakuntzakoa 24 ordutan. Animazioak ez du islatzen iturri bakoitzeko trafiko kopurua.
Zer da Pew Pew mapa?
Pew Pew mapa - Is , normalean animatua eta oso ederra. Zure produktua saltzeko modu dotorea da, Norse Corp-ek oso famatua erabiltzen duena. Konpainia gaizki amaitu zen: animazio ederrak zirela haien abantaila bakarra atera zen, eta analisirako datu zatikatuak erabili zituzten.
Leafletjs-ekin egina
Eragiketa zentroko pantaila handirako eraso-mapa bat diseinatu nahi dutenentzat (zure nagusiak maite izango du), liburutegi bat dago. . Pluginarekin konbinatzen dugu , Maxmind GeoIP zerbitzua - .
WTF: zer da Cowrie honeypot hau?
Honeypot sarean bereziki erasotzaileak erakartzeko jartzen den sistema bat da. Sistemarako konexioak legez kanpokoak izan ohi dira eta erasotzailea erregistro zehatzak erabiliz detektatzeko aukera ematen dute. Erregistroek ohiko konexioaren informazioa ez ezik, erakusten duten saioen informazioa ere gordetzen dute teknikak, taktikak eta prozedurak (TTP) intrusoa.
urtean sortua SSH eta Telnet konexio-erregistroak. Horrelako honeypots sarean jarri ohi dira erasotzaileen tresna, script eta ostalarien jarraipena egiteko.
Erasorik jasango ez dutela uste duten enpresei nire mezua: "Gogo bila zabiltza".
- James Snook
Zer dago erregistroetan?
Konexio kopurua guztira
Ostalari askoren konexio-saiakerak errepikatu ziren. Hau normala da, eraso-scriptek kredentzial zerrenda osoa baitute eta hainbat konbinazio probatzen dituzte. Cowrie Honeypot erabiltzaile-izen eta pasahitz konbinazio jakin batzuk onartzeko konfiguratuta dago. Hau konfiguratuta dago user.db fitxategia.
Erasoen geografia
Maxmind geokokapen datuak erabiliz, herrialde bakoitzeko konexio kopurua zenbatu nuen. Brasilek eta Txinak alde handiarekin lideratzen dute, eta herrialde horietatik datozen eskanerrek zarata handia izaten dute.
Sare blokearen jabea
Sare blokeen jabeak (ASN) ikertzeak ostalari erasotzaile ugari dituzten erakundeak identifikatu ditzake. Jakina, kasu horietan beti gogoratu behar duzu eraso asko kutsatutako ostalarietatik datozela. Arrazoizkoa da erasotzaile gehienak ez direla nahikoa ergelak etxeko ordenagailu batetik Sarea eskaneatzeko.
Ireki ataka sistema erasotzaileetan (Shodan.io-ko datuak)
IP zerrenda bikain exekutatzen azkar identifikatzen du portu irekiak dituzten sistemak eta zer dira portu hauek? Beheko irudiak portu irekien kontzentrazioa erakusten du herrialdeka eta erakundeka. Posible litzateke sistema arriskutsuen blokeak identifikatzea, baina barruan lagin txikia ez da ezer nabarmenik ikusten, kopuru handi bat izan ezik 500 portu irekita Txinan.
Aurkikuntza interesgarri bat Brasilen duten sistema kopuru handia da ireki gabe 22, 23 edo beste portu batzuk, Censys eta Shodanen arabera. Antza denez, azken erabiltzailearen ordenagailuetako konexioak dira.
Bots? Ez da beharrezkoa
Datu 22 eta 23 portuetarako zerbait arraroa erakutsi zuten egun hartan. Suposatu nuen azterketa eta pasahitz eraso gehienak botetatik datozela. Scripta portu irekietan zabaltzen da, pasahitzak asmatzen ditu, eta sistema berritik kopiatzen du eta metodo bera erabiliz hedatzen jarraitzen du.
Baina hemen ikus dezakezu telnet eskaneatzen duten ostalari kopuru txiki batek bakarrik duela 23. portua kanporantz irekita. Horrek esan nahi du sistemak beste modu batean arriskuan daudela edo erasotzaileak eskuz scriptak exekutatzen ari direla.
Etxeko konexioak
Beste aurkikuntza interesgarri bat laginean etxeko erabiltzaile kopuru handia izan zen. Erabiliz alderantzizko bilaketa Etxeko ordenagailu zehatzetatik 105 konexio identifikatu nituen. Etxeko konexio askotan, alderantzizko DNS bilaketak ostalari-izena bistaratzen du dsl, home, cable, fibre, eta abar hitzekin.
Ikasi eta arakatu: altxa ezazu zure honeypot
Duela gutxi tutorial labur bat idatzi dut nola egin jakiteko . Esan bezala, gure kasuan Digital Ocean VPS erabili dugu Singapurren. 24 orduko analisirako, kostua zentimo batzuk zen literalki, eta sistema muntatzeko denbora 30 minutukoa izan zen.
Cowrie Interneten exekutatu eta zarata guztia harrapatu beharrean, zure sare lokaleko honeypot-ari etekina atera diezaiokezu. Ezarri etengabe jakinarazpena eskaerak portu batzuetara bidaltzen badira. Hau sare barruko erasotzaile bat da, edo langile bitxi bat, edo ahultasun-eskane bat da.
Findings
XNUMX orduko erasotzaileen ekintzak ikusi ondoren, argi geratzen da ezinezkoa dela edozein erakunde, herrialde edo sistema eragiletan erasoen iturri argi bat identifikatzea.
Iturrien banaketa zabalak erakusten du eskaneatze zarata etengabea dela eta ez dela iturri zehatz batekin lotuta. Interneten lan egiten duen edonork ziurtatu behar du bere sistema hainbat segurtasun maila. Irtenbide arrunta eta eraginkorra SSH zerbitzua ausazko portu altu batera eramango da. Horrek ez du kentzen pasahitza babesteko eta monitorizatzeko beharrizana, baina, gutxienez, etengabeko eskaneatuarekin erregistroak ez ote direla ziurtatzen du. Portu altuko konexioak litekeena da eraso zuzenduak izatea, eta hori interesgarria izan daiteke.
Sarritan, irekita dauden telnet atakak bideratzaileetan edo beste gailu batzuetan daude, beraz, ezin dira erraz eraman altuera handi batera. ΠΈ zerbitzu horiek suebakia edo desgaituta daudela ziurtatzeko modu bakarra da. Ahal izanez gero, ez zenuke Telnet batere erabili behar; protokolo hau ez dago enkriptatuta. Behar baduzu eta ezin baduzu egin gabe, ondoren kontrolatu arretaz eta erabili pasahitz sendoak.
Iturria: www.habr.com