Tilastot 24 tunnin ajalta sen jälkeen, kun kultapotti on asennettu Singaporen Digital Ocean -solmuun
Pew Pew! Aloitetaan heti hyökkäyskartalla
Superhieno karttamme näyttää ainutlaatuiset ASN:t, jotka liittyivät Cowrie honeypottiimme 24 tunnin sisällä. Keltainen vastaa SSH-yhteyksiä ja punainen Telnetiä. Tällaiset animaatiot tekevät usein vaikutuksen yrityksen hallitukseen, mikä voi auttaa varmistamaan lisää rahoitusta turvallisuuteen ja resursseihin. Kartalla on kuitenkin jonkin verran arvoa, ja se näyttää selkeästi hyökkäyslähteiden maantieteellisen ja organisatorisen leviämisen isännässämme vain 24 tunnissa. Animaatio ei heijasta kustakin lähteestä tulevan liikenteen määrää.
Mikä on Pew Pew -kartta?
Pew Pew kartta - Onko
Valmistettu Leafletjs:llä
Niille, jotka haluavat suunnitella hyökkäyskartan operaatiokeskuksen suurelle näytölle (pomosi rakastaa sitä), on kirjasto
WTF: mikä tämä Cowrie-hunajapotti on?
Honeypot on järjestelmä, joka on sijoitettu verkkoon erityisesti houkuttelemaan hyökkääjiä. Yhteydet järjestelmään ovat yleensä laittomia, ja niiden avulla voit havaita hyökkääjän yksityiskohtaisten lokien avulla. Lokit eivät tallenna vain säännöllisiä yhteystietoja, vaan myös istuntotietoja, jotka paljastavat tekniikat, taktiikat ja menettelyt (TTP) tunkeilija.
Viestini yrityksille, jotka luulevat, ettei niitä hyökätä: "Etsitkö kovaa."
- James Snook
Mitä lokeissa on?
Yhteyksien kokonaismäärä
Useat isännät yrittivät muodostaa yhteyden toistuvasti. Tämä on normaalia, koska hyökkäysskripteillä on täydellinen luettelo valtuustiedoista ja ne yrittävät useita yhdistelmiä. Cowrie Honeypot on määritetty hyväksymään tietyt käyttäjätunnus- ja salasanayhdistelmät. Tämä on määritetty sisään user.db-tiedosto.
Hyökkäysten maantiede
Maxmindin maantieteellisen sijainnin tietojen avulla laskin yhteyksien määrän kustakin maasta. Brasilia ja Kiina johtavat suurella erolla, ja näistä maista tulevista skannereista kuuluu usein paljon melua.
Verkkolohkon omistaja
Verkkolohkojen (ASN) omistajien tutkiminen voi tunnistaa organisaatiot, joissa on suuri määrä hyökkääviä isäntiä. Tietenkin tällaisissa tapauksissa sinun tulee aina muistaa, että monet hyökkäykset tulevat tartunnan saaneilta isänniltä. On järkevää olettaa, että useimmat hyökkääjät eivät ole tarpeeksi tyhmiä tarkistamaan verkkoa kotitietokoneelta.
Avaa portit hyökkääville järjestelmille (tiedot Shodan.iosta)
IP-luettelon suorittaminen erinomaisesti
Mielenkiintoinen löytö on suuri määrä järjestelmiä Brasiliassa ei auki 22 tai muut portitCensysin ja Shodanin mukaan. Ilmeisesti nämä ovat yhteyksiä loppukäyttäjien tietokoneilta.
Botit? Ei välttämättä
Tiedot
Mutta tässä näkyy, että vain pienellä osalla telnetiä skannaavista koneista on portti 23 auki ulospäin.Tämä tarkoittaa, että järjestelmät ovat joko vaarantuneet jollain muulla tavalla tai hyökkääjät ajavat komentosarjoja manuaalisesti.
Kotiliitännät
Toinen mielenkiintoinen havainto oli kotikäyttäjien suuri määrä otoksessa. Käyttämällä käänteinen haku Tunnistan 105 yhteyttä tietyistä kotitietokoneista. Monissa kotiyhteyksissä käänteinen DNS-haku näyttää isäntänimen sanoilla dsl, koti, kaapeli, kuitu ja niin edelleen.
Opi ja tutki: Kasvata oma hunajapottisi
Kirjoitin äskettäin lyhyen opetusohjelman kuinka se tehdään
Sen sijaan, että käyttäisit Cowriea Internetissä ja sieppasit kaiken melun, voit hyötyä honeypotista paikallisessa verkossasi. Aseta jatkuvasti ilmoitus, jos pyyntöjä lähetetään tiettyihin portteihin. Tämä on joko verkon sisällä oleva hyökkääjä tai utelias työntekijä tai haavoittuvuustarkistus.
Tulokset
Kun hyökkääjien toimia XNUMX tunnin aikana on tarkasteltu, käy selväksi, että on mahdotonta tunnistaa selkeää hyökkäyslähdettä missään organisaatiossa, maassa tai edes käyttöjärjestelmässä.
Lähteiden laaja jakautuminen osoittaa, että skannauskohina on jatkuvaa eikä liity tiettyyn lähteeseen. Jokaisen, joka työskentelee Internetissä, on varmistettava, että heidän järjestelmänsä useita turvatasoja. Yleinen ja tehokas ratkaisu SSH palvelu siirtyy satunnaiseen korkeaan porttiin. Tämä ei poista tiukan salasanasuojauksen ja valvonnan tarvetta, mutta varmistaa ainakin sen, että lokit eivät tukkeudu jatkuvalla tarkistuksella. Korkean portin yhteydet ovat todennäköisemmin kohdennettuja hyökkäyksiä, jotka voivat kiinnostaa sinua.
Usein avoimet telnet-portit ovat reitittimissä tai muissa laitteissa, joten niitä ei voi helposti siirtää korkeaan porttiin.
Lähde: will.com