آمار 24 ساعت پس از نصب هانی پات در گره اقیانوس دیجیتال در سنگاپور
پیو پیو! بیایید بلافاصله با نقشه حمله شروع کنیم
نقشه فوق العاده جالب ما ASN های منحصر به فردی را نشان می دهد که ظرف 24 ساعت به Honeypot Cowrie ما متصل شده اند. زرد نشان دهنده اتصالات SSH و قرمز نشان دهنده Telnet است. چنین انیمیشن هایی اغلب هیئت مدیره شرکت را تحت تاثیر قرار می دهند که می تواند به تامین بودجه بیشتر برای امنیت و منابع کمک کند. با این حال، این نقشه مقداری ارزش دارد و به وضوح گسترش جغرافیایی و سازمانی منابع حمله به میزبان ما را تنها در 24 ساعت نشان می دهد. این انیمیشن میزان ترافیک هر منبع را نشان نمی دهد.
نقشه Pew Pew چیست؟
نقشه پیو پیو - آیا
ساخته شده با Leafletjs
برای کسانی که می خواهند یک نقشه حمله برای صفحه بزرگ در مرکز عملیات طراحی کنند (رئیس شما آن را دوست دارد)، یک کتابخانه وجود دارد.
WTF: این هانی پات کاوری چیست؟
Honeypot سیستمی است که به طور خاص برای فریب مهاجمان در شبکه قرار می گیرد. اتصالات به سیستم معمولا غیرقانونی است و به شما امکان می دهد با استفاده از گزارش های دقیق، مهاجم را شناسایی کنید. گزارشها نه تنها اطلاعات اتصال معمولی، بلکه اطلاعات جلسه را نیز ذخیره میکنند تکنیک ها، تاکتیک ها و رویه ها (TTP) مزاحم
پیام من به شرکت هایی که فکر می کنند مورد حمله قرار نخواهند گرفت: "شما سخت به دنبال آن هستید."
- جیمز اسنوک
چه چیزی در سیاههها وجود دارد؟
تعداد کل اتصالات
تلاش های مکرر برای اتصال از سوی بسیاری از هاست ها انجام شد. این طبیعی است، زیرا اسکریپت های حمله لیست کاملی از اعتبار دارند و چندین ترکیب را امتحان می کنند. Cowrie Honeypot طوری پیکربندی شده است که ترکیب نام کاربری و رمز عبور خاصی را بپذیرد. این در پیکربندی شده است فایل user.db.
جغرافیای حملات
با استفاده از داده های مکان جغرافیایی Maxmind، تعداد اتصالات هر کشور را شمارش کردم. برزیل و چین با اختلاف زیادی پیشتاز هستند و اغلب سر و صدای زیادی از اسکنرهای این کشورها به گوش می رسد.
مالک بلوک شبکه
تحقیق در مورد صاحبان بلوک های شبکه (ASN) می تواند سازمان هایی را با تعداد زیادی میزبان مهاجم شناسایی کند. البته در چنین مواقعی باید همیشه به یاد داشته باشید که بسیاری از حملات از میزبان های آلوده انجام می شود. منطقی است که فرض کنیم بیشتر مهاجمان به اندازه کافی احمق نیستند که شبکه را از رایانه خانگی اسکن کنند.
باز کردن پورت ها در سیستم های مهاجم (داده های Shodan.io)
اجرای لیست IP از طریق عالی
یک یافته جالب، تعداد زیادی سیستم در برزیل است که دارند باز نشدن 22، 23 یا سایر پورت هابر اساس Censys و Shodan. ظاهراً این اتصالات از رایانه های کاربر نهایی هستند.
ربات ها؟ لازم نیست
اطلاعات
اما در اینجا میتوانید ببینید که تنها تعداد کمی از میزبانهایی که شبکه راه دور را اسکن میکنند، پورت 23 را به بیرون باز میکنند. این به این معنی است که سیستمها یا به روش دیگری در معرض خطر هستند یا مهاجمان اسکریپتها را به صورت دستی اجرا میکنند.
اتصالات خانه
یافته جالب دیگر، تعداد زیاد کاربران خانگی در نمونه بود. با استفاده از جستجوی معکوس من 105 اتصال را از رایانه های خانگی خاص شناسایی کردم. برای بسیاری از اتصالات خانگی، جستجوی معکوس DNS نام میزبان را با کلمات dsl، home، cable، fiber و غیره نمایش می دهد.
بیاموزید و کاوش کنید: Honeypot خودتان را بالا ببرید
من اخیراً یک آموزش کوتاه در مورد چگونگی انجام آن نوشتم
به جای اجرای Cowrie در اینترنت و گرفتن تمام نویزها، می توانید از Honeypot در شبکه محلی خود بهره مند شوید. در صورت ارسال درخواست به پورت های خاص، به طور مداوم یک اعلان تنظیم کنید. این یا یک مهاجم در داخل شبکه است، یا یک کارمند کنجکاو، یا یک اسکن آسیب پذیری.
یافته ها
پس از مشاهده اقدامات مهاجمان در یک بازه زمانی 24 ساعته، مشخص می شود که شناسایی منبع واضح حملات در هیچ سازمان، کشور یا حتی سیستم عامل غیرممکن است.
توزیع گسترده منابع نشان می دهد که نویز اسکن ثابت است و با منبع خاصی مرتبط نیست. هر کسی که در اینترنت کار می کند باید از سیستم خود اطمینان حاصل کند چندین سطح امنیتی. یک راه حل رایج و موثر برای SSH سرویس به یک پورت بالا تصادفی منتقل می شود. این امر نیاز به حفاظت و نظارت دقیق رمز عبور را برطرف نمی کند، اما حداقل تضمین می کند که لاگ ها با اسکن مداوم مسدود نمی شوند. اتصالات با پورت بالا بیشتر در معرض حملات هدفمند قرار می گیرند، که ممکن است برای شما جالب باشد.
اغلب پورتهای تلنت باز روی روترها یا دستگاههای دیگر قرار دارند، بنابراین نمیتوان آنها را به راحتی به یک پورت بالا منتقل کرد.
منبع: www.habr.com