آمار 24 ساعت پس از نصب هانی پات در گره اقیانوس دیجیتال در سنگاپور

پیو پیو! بیایید بلافاصله با نقشه حمله شروع کنیم

نقشه فوق العاده جالب ما ASN های منحصر به فردی را نشان می دهد که ظرف 24 ساعت به Honeypot Cowrie ما متصل شده اند. زرد نشان دهنده اتصالات SSH و قرمز نشان دهنده Telnet است. چنین انیمیشن هایی اغلب هیئت مدیره شرکت را تحت تاثیر قرار می دهند که می تواند به تامین بودجه بیشتر برای امنیت و منابع کمک کند. با این حال، این نقشه مقداری ارزش دارد و به وضوح گسترش جغرافیایی و سازمانی منابع حمله به میزبان ما را تنها در 24 ساعت نشان می دهد. این انیمیشن میزان ترافیک هر منبع را نشان نمی دهد.

نقشه Pew Pew چیست؟

نقشه پیو پیو - آیا تجسم حملات سایبری، معمولا متحرک و بسیار زیبا است. این یک روش فانتزی برای فروش محصول شما است که توسط شرکت Norse Corp مورد استفاده قرار گرفته است. این شرکت بد تمام شد: معلوم شد که انیمیشن های زیبا تنها مزیت آنها بود و آنها از داده های پراکنده برای تجزیه و تحلیل استفاده کردند.

ساخته شده با Leafletjs

برای کسانی که می خواهند یک نقشه حمله برای صفحه بزرگ در مرکز عملیات طراحی کنند (رئیس شما آن را دوست دارد)، یک کتابخانه وجود دارد. جزوات. ما آن را با افزونه ترکیب می کنیم لایه مهاجرت برگه, سرویس Maxmind GeoIP - و انجام داد.

WTF: این هانی پات کاوری چیست؟

Honeypot سیستمی است که به طور خاص برای فریب مهاجمان در شبکه قرار می گیرد. اتصالات به سیستم معمولا غیرقانونی است و به شما امکان می دهد با استفاده از گزارش های دقیق، مهاجم را شناسایی کنید. گزارش‌ها نه تنها اطلاعات اتصال معمولی، بلکه اطلاعات جلسه را نیز ذخیره می‌کنند تکنیک ها، تاکتیک ها و رویه ها (TTP) مزاحم

Honeypot Cowrie ایجاد شده برای سوابق اتصال SSH و Telnet. چنین Honeypot ها اغلب در اینترنت قرار می گیرند تا ابزارها، اسکریپت ها و میزبان مهاجمان را ردیابی کنند.

پیام من به شرکت هایی که فکر می کنند مورد حمله قرار نخواهند گرفت: "شما سخت به دنبال آن هستید."
- جیمز اسنوک

چه چیزی در سیاههها وجود دارد؟

تعداد کل اتصالات

تلاش های مکرر برای اتصال از سوی بسیاری از هاست ها انجام شد. این طبیعی است، زیرا اسکریپت های حمله لیست کاملی از اعتبار دارند و چندین ترکیب را امتحان می کنند. Cowrie Honeypot طوری پیکربندی شده است که ترکیب نام کاربری و رمز عبور خاصی را بپذیرد. این در پیکربندی شده است فایل user.db.

جغرافیای حملات

با استفاده از داده های مکان جغرافیایی Maxmind، تعداد اتصالات هر کشور را شمارش کردم. برزیل و چین با اختلاف زیادی پیشتاز هستند و اغلب سر و صدای زیادی از اسکنرهای این کشورها به گوش می رسد.

مالک بلوک شبکه

تحقیق در مورد صاحبان بلوک های شبکه (ASN) می تواند سازمان هایی را با تعداد زیادی میزبان مهاجم شناسایی کند. البته در چنین مواقعی باید همیشه به یاد داشته باشید که بسیاری از حملات از میزبان های آلوده انجام می شود. منطقی است که فرض کنیم بیشتر مهاجمان به اندازه کافی احمق نیستند که شبکه را از رایانه خانگی اسکن کنند.

باز کردن پورت ها در سیستم های مهاجم (داده های Shodan.io)

اجرای لیست IP از طریق عالی Shodan API به سرعت شناسایی می کند سیستم هایی با پورت های باز و این پورت ها چیست؟ شکل زیر غلظت بنادر باز را بر اساس کشور و سازمان نشان می دهد. شناسایی بلوک‌های سیستم‌های در معرض خطر، اما در داخل، امکان‌پذیر است نمونه کوچک هیچ چیز برجسته ای به جز تعداد زیادی قابل مشاهده نیست 500 بندر باز در چین.

یک یافته جالب، تعداد زیادی سیستم در برزیل است که دارند باز نشدن 22، 23 یا سایر پورت هابر اساس Censys و Shodan. ظاهراً این اتصالات از رایانه های کاربر نهایی هستند.

ربات ها؟ لازم نیست

اطلاعات Censys برای پورت های 22 و 23 آن روز چیز عجیبی را نشان دادند. من فرض کردم که بیشتر اسکن ها و حملات رمز عبور از ربات ها انجام می شود. اسکریپت روی پورت‌های باز پخش می‌شود، رمزهای عبور را حدس می‌زند و خودش را از سیستم جدید کپی می‌کند و با استفاده از همان روش به گسترش خود ادامه می‌دهد.

اما در اینجا می‌توانید ببینید که تنها تعداد کمی از میزبان‌هایی که شبکه راه دور را اسکن می‌کنند، پورت 23 را به بیرون باز می‌کنند. این به این معنی است که سیستم‌ها یا به روش دیگری در معرض خطر هستند یا مهاجمان اسکریپت‌ها را به صورت دستی اجرا می‌کنند.

اتصالات خانه

یافته جالب دیگر، تعداد زیاد کاربران خانگی در نمونه بود. با استفاده از جستجوی معکوس من 105 اتصال را از رایانه های خانگی خاص شناسایی کردم. برای بسیاری از اتصالات خانگی، جستجوی معکوس DNS نام میزبان را با کلمات dsl، home، cable، fiber و غیره نمایش می دهد.

بیاموزید و کاوش کنید: Honeypot خودتان را بالا ببرید

من اخیراً یک آموزش کوتاه در مورد چگونگی انجام آن نوشتم Honeypot Cowrie را روی سیستم خود نصب کنید. همانطور که قبلا ذکر شد، در مورد ما از Digital Ocean VPS در سنگاپور استفاده کردیم. برای 24 ساعت تجزیه و تحلیل، هزینه به معنای واقعی کلمه چند سنت بود و زمان مونتاژ سیستم 30 دقیقه بود.

به جای اجرای Cowrie در اینترنت و گرفتن تمام نویزها، می توانید از Honeypot در شبکه محلی خود بهره مند شوید. در صورت ارسال درخواست به پورت های خاص، به طور مداوم یک اعلان تنظیم کنید. این یا یک مهاجم در داخل شبکه است، یا یک کارمند کنجکاو، یا یک اسکن آسیب پذیری.

یافته ها

پس از مشاهده اقدامات مهاجمان در یک بازه زمانی 24 ساعته، مشخص می شود که شناسایی منبع واضح حملات در هیچ سازمان، کشور یا حتی سیستم عامل غیرممکن است.

توزیع گسترده منابع نشان می دهد که نویز اسکن ثابت است و با منبع خاصی مرتبط نیست. هر کسی که در اینترنت کار می کند باید از سیستم خود اطمینان حاصل کند چندین سطح امنیتی. یک راه حل رایج و موثر برای SSH سرویس به یک پورت بالا تصادفی منتقل می شود. این امر نیاز به حفاظت و نظارت دقیق رمز عبور را برطرف نمی کند، اما حداقل تضمین می کند که لاگ ها با اسکن مداوم مسدود نمی شوند. اتصالات با پورت بالا بیشتر در معرض حملات هدفمند قرار می گیرند، که ممکن است برای شما جالب باشد.

اغلب پورت‌های تلنت باز روی روترها یا دستگاه‌های دیگر قرار دارند، بنابراین نمی‌توان آن‌ها را به راحتی به یک پورت بالا منتقل کرد. اطلاعات در مورد تمام پورت های باز и سطح حمله تنها راه برای اطمینان از فایروال بودن یا غیرفعال بودن این سرویس ها است. در صورت امکان، به هیچ وجه نباید از Telnet استفاده کنید؛ این پروتکل رمزگذاری نشده است. اگر به آن نیاز دارید و نمی توانید بدون آن انجام دهید، آن را به دقت کنترل کنید و از رمزهای عبور قوی استفاده کنید.

منبع: www.habr.com