Singapurreko Digital Ocean nodo batean honeypot bat instalatu ondoren 24 orduko estatistikak
Pew Pew! Has gaitezen berehala eraso maparekin
Gure mapa oso politak 24 orduko epean gure Cowrie honeypotera konektatzen diren ASN bereziak erakusten ditu. Horia SSH konexioei dagokie eta gorria Telnet-i. Horrelako animazioek maiz hunkitzen dute konpainiaren zuzendaritza batzordea, eta horrek segurtasun eta baliabideetarako finantzaketa gehiago lortzen lagun dezake. Hala ere, mapak badu nolabaiteko balio, eta argi eta garbi erakusten du gure ostalariaren eraso iturrien hedapen geografikoa eta antolakuntzakoa 24 ordutan. Animazioak ez du islatzen iturri bakoitzeko trafiko kopurua.
Zer da Pew Pew mapa?
Pew Pew mapa - Is
Leafletjs-ekin egina
Eragiketa zentroko pantaila handirako eraso-mapa bat diseinatu nahi dutenentzat (zure nagusiak maite izango du), liburutegi bat dago.
WTF: zer da Cowrie honeypot hau?
Honeypot sarean bereziki erasotzaileak erakartzeko jartzen den sistema bat da. Sistemarako konexioak legez kanpokoak izan ohi dira eta erasotzailea erregistro zehatzak erabiliz detektatzeko aukera ematen dute. Erregistroek ohiko konexioaren informazioa ez ezik, erakusten duten saioen informazioa ere gordetzen dute teknikak, taktikak eta prozedurak (TTP) intrusoa.
Erasorik jasango ez dutela uste duten enpresei nire mezua: "Gogo bila zabiltza".
- James Snook
Zer dago erregistroetan?
Konexio kopurua guztira
Ostalari askoren konexio-saiakerak errepikatu ziren. Hau normala da, eraso-scriptek kredentzial zerrenda osoa baitute eta hainbat konbinazio probatzen dituzte. Cowrie Honeypot erabiltzaile-izen eta pasahitz konbinazio jakin batzuk onartzeko konfiguratuta dago. Hau konfiguratuta dago user.db fitxategia.
Erasoen geografia
Maxmind geokokapen datuak erabiliz, herrialde bakoitzeko konexio kopurua zenbatu nuen. Brasilek eta Txinak alde handiarekin lideratzen dute, eta herrialde horietatik datozen eskanerrek zarata handia izaten dute.
Sare blokearen jabea
Sare blokeen jabeak (ASN) ikertzeak ostalari erasotzaile ugari dituzten erakundeak identifikatu ditzake. Jakina, kasu horietan beti gogoratu behar duzu eraso asko kutsatutako ostalarietatik datozela. Arrazoizkoa da erasotzaile gehienak ez direla nahikoa ergelak etxeko ordenagailu batetik Sarea eskaneatzeko.
Ireki ataka sistema erasotzaileetan (Shodan.io-ko datuak)
IP zerrenda bikain exekutatzen
Aurkikuntza interesgarri bat Brasilen duten sistema kopuru handia da ireki gabe 22, 23 edo beste portu batzuk, Censys eta Shodanen arabera. Antza denez, azken erabiltzailearen ordenagailuetako konexioak dira.
Bots? Ez da beharrezkoa
Datu
Baina hemen ikus dezakezu telnet eskaneatzen duten ostalari kopuru txiki batek bakarrik duela 23. portua kanporantz irekita. Horrek esan nahi du sistemak beste modu batean arriskuan daudela edo erasotzaileak eskuz scriptak exekutatzen ari direla.
Etxeko konexioak
Beste aurkikuntza interesgarri bat laginean etxeko erabiltzaile kopuru handia izan zen. Erabiliz alderantzizko bilaketa Etxeko ordenagailu zehatzetatik 105 konexio identifikatu nituen. Etxeko konexio askotan, alderantzizko DNS bilaketak ostalari-izena bistaratzen du dsl, home, cable, fibre, eta abar hitzekin.
Ikasi eta arakatu: altxa ezazu zure honeypot
Duela gutxi tutorial labur bat idatzi dut nola egin jakiteko
Cowrie Interneten exekutatu eta zarata guztia harrapatu beharrean, zure sare lokaleko honeypot-ari etekina atera diezaiokezu. Ezarri etengabe jakinarazpena eskaerak portu batzuetara bidaltzen badira. Hau sare barruko erasotzaile bat da, edo langile bitxi bat, edo ahultasun-eskane bat da.
Findings
XNUMX orduko erasotzaileen ekintzak ikusi ondoren, argi geratzen da ezinezkoa dela edozein erakunde, herrialde edo sistema eragiletan erasoen iturri argi bat identifikatzea.
Iturrien banaketa zabalak erakusten du eskaneatze zarata etengabea dela eta ez dela iturri zehatz batekin lotuta. Interneten lan egiten duen edonork ziurtatu behar du bere sistema hainbat segurtasun maila. Irtenbide arrunta eta eraginkorra SSH zerbitzua ausazko portu altu batera eramango da. Horrek ez du kentzen pasahitza babesteko eta monitorizatzeko beharrizana, baina, gutxienez, etengabeko eskaneatuarekin erregistroak ez ote direla ziurtatzen du. Portu altuko konexioak litekeena da eraso zuzenduak izatea, eta hori interesgarria izan daiteke.
Sarritan, irekita dauden telnet atakak bideratzaileetan edo beste gailu batzuetan daude, beraz, ezin dira erraz eraman altuera handi batera.
Iturria: www.habr.com