Tilastot 24 tunnin ajalta sen jälkeen, kun kultapotti on asennettu Singaporen Digital Ocean -solmuun
Pew Pew! Aloitetaan heti hyökkäyskartalla
Superhieno karttamme näyttää ainutlaatuiset ASN:t, jotka liittyivät Cowrie honeypottiimme 24 tunnin sisällä. Keltainen vastaa SSH-yhteyksiä ja punainen Telnetiä. Tällaiset animaatiot tekevät usein vaikutuksen yrityksen hallitukseen, mikä voi auttaa varmistamaan lisää rahoitusta turvallisuuteen ja resursseihin. Kartalla on kuitenkin jonkin verran arvoa, ja se näyttää selkeästi hyökkäyslähteiden maantieteellisen ja organisatorisen leviämisen isännässämme vain 24 tunnissa. Animaatio ei heijasta kustakin lähteestä tulevan liikenteen määrää.
Mikä on Pew Pew -kartta?
Pew Pew kartta - Onko , yleensä animoitu ja erittäin kaunis. Se on hieno tapa myydä tuotettasi, jota Norse Corp. käyttää pahamaineisesti. Yritys päättyi huonosti: kävi ilmi, että kauniit animaatiot olivat heidän ainoa etunsa, ja he käyttivät analyysiin fragmentaarisia tietoja.
Valmistettu Leafletjs:llä
Niille, jotka haluavat suunnitella hyökkäyskartan operaatiokeskuksen suurelle näytölle (pomosi rakastaa sitä), on kirjasto . Yhdistämme sen laajennuksen kanssa , Maxmind GeoIP -palvelu - .
WTF: mikä tämä Cowrie-hunajapotti on?
Honeypot on järjestelmä, joka on sijoitettu verkkoon erityisesti houkuttelemaan hyökkääjiä. Yhteydet järjestelmään ovat yleensä laittomia, ja niiden avulla voit havaita hyökkääjän yksityiskohtaisten lokien avulla. Lokit eivät tallenna vain säännöllisiä yhteystietoja, vaan myös istuntotietoja, jotka paljastavat tekniikat, taktiikat ja menettelyt (TTP) tunkeilija.
luotu SSH- ja Telnet-yhteystietueet. Tällaisia hunajapuruja laitetaan usein Internetiin seuraamaan hyökkääjien työkaluja, komentosarjoja ja isäntiä.
Viestini yrityksille, jotka luulevat, ettei niitä hyökätä: "Etsitkö kovaa."
- James Snook
Mitä lokeissa on?
Yhteyksien kokonaismäärä
Useat isännät yrittivät muodostaa yhteyden toistuvasti. Tämä on normaalia, koska hyökkäysskripteillä on täydellinen luettelo valtuustiedoista ja ne yrittävät useita yhdistelmiä. Cowrie Honeypot on määritetty hyväksymään tietyt käyttäjätunnus- ja salasanayhdistelmät. Tämä on määritetty sisään user.db-tiedosto.
Hyökkäysten maantiede
Maxmindin maantieteellisen sijainnin tietojen avulla laskin yhteyksien määrän kustakin maasta. Brasilia ja Kiina johtavat suurella erolla, ja näistä maista tulevista skannereista kuuluu usein paljon melua.
Verkkolohkon omistaja
Verkkolohkojen (ASN) omistajien tutkiminen voi tunnistaa organisaatiot, joissa on suuri määrä hyökkääviä isäntiä. Tietenkin tällaisissa tapauksissa sinun tulee aina muistaa, että monet hyökkäykset tulevat tartunnan saaneilta isänniltä. On järkevää olettaa, että useimmat hyökkääjät eivät ole tarpeeksi tyhmiä tarkistamaan verkkoa kotitietokoneelta.
Avaa portit hyökkääville järjestelmille (tiedot Shodan.iosta)
IP-luettelon suorittaminen erinomaisesti tunnistaa nopeasti järjestelmät, joissa on avoimet portit ja mitä nämä portit ovat? Alla olevassa kuvassa näkyy avointen satamien keskittyminen maittain ja organisaatioittain. Olisi mahdollista tunnistaa vaarantuneiden järjestelmien lohkot, mutta niiden sisällä pieni näyte mitään merkittävää ei näy, lukuun ottamatta suurta määrää 500 avointa satamaa Kiinassa.
Mielenkiintoinen löytö on suuri määrä järjestelmiä Brasiliassa ei auki 22 tai muut portitCensysin ja Shodanin mukaan. Ilmeisesti nämä ovat yhteyksiä loppukäyttäjien tietokoneilta.
Botit? Ei välttämättä
Tiedot porttien 22 ja 23 kohdalla ne osoittivat jotain outoa sinä päivänä. Oletin, että useimmat tarkistukset ja salasanahyökkäykset tulevat boteilta. Skripti leviää avoimiin portteihin, arvaamalla salasanoja, ja kopioi itsensä uudesta järjestelmästä ja jatkaa leviämistä samalla menetelmällä.
Mutta tässä näkyy, että vain pienellä osalla telnetiä skannaavista koneista on portti 23 auki ulospäin.Tämä tarkoittaa, että järjestelmät ovat joko vaarantuneet jollain muulla tavalla tai hyökkääjät ajavat komentosarjoja manuaalisesti.
Kotiliitännät
Toinen mielenkiintoinen havainto oli kotikäyttäjien suuri määrä otoksessa. Käyttämällä käänteinen haku Tunnistan 105 yhteyttä tietyistä kotitietokoneista. Monissa kotiyhteyksissä käänteinen DNS-haku näyttää isäntänimen sanoilla dsl, koti, kaapeli, kuitu ja niin edelleen.
Opi ja tutki: Kasvata oma hunajapottisi
Kirjoitin äskettäin lyhyen opetusohjelman kuinka se tehdään . Kuten jo mainittiin, meidän tapauksessamme käytimme Digital Ocean VPS:ää Singaporessa. 24 tunnin analyysin hinta oli kirjaimellisesti muutama sentti, ja järjestelmän kokoamiseen kului 30 minuuttia.
Sen sijaan, että käyttäisit Cowriea Internetissä ja sieppasit kaiken melun, voit hyötyä honeypotista paikallisessa verkossasi. Aseta jatkuvasti ilmoitus, jos pyyntöjä lähetetään tiettyihin portteihin. Tämä on joko verkon sisällä oleva hyökkääjä tai utelias työntekijä tai haavoittuvuustarkistus.
Tulokset
Kun hyökkääjien toimia XNUMX tunnin aikana on tarkasteltu, käy selväksi, että on mahdotonta tunnistaa selkeää hyökkäyslähdettä missään organisaatiossa, maassa tai edes käyttöjärjestelmässä.
Lähteiden laaja jakautuminen osoittaa, että skannauskohina on jatkuvaa eikä liity tiettyyn lähteeseen. Jokaisen, joka työskentelee Internetissä, on varmistettava, että heidän järjestelmänsä useita turvatasoja. Yleinen ja tehokas ratkaisu SSH palvelu siirtyy satunnaiseen korkeaan porttiin. Tämä ei poista tiukan salasanasuojauksen ja valvonnan tarvetta, mutta varmistaa ainakin sen, että lokit eivät tukkeudu jatkuvalla tarkistuksella. Korkean portin yhteydet ovat todennäköisemmin kohdennettuja hyökkäyksiä, jotka voivat kiinnostaa sinua.
Usein avoimet telnet-portit ovat reitittimissä tai muissa laitteissa, joten niitä ei voi helposti siirtää korkeaan porttiin. и on ainoa tapa varmistaa, että nämä palvelut on palomuurilla tai poistettu käytöstä. Jos mahdollista, älä käytä Telnetiä ollenkaan; tämä protokolla ei ole salattu. Jos tarvitset sitä etkä tule toimeen ilman sitä, seuraa sitä huolellisesti ja käytä vahvoja salasanoja.
Lähde: will.com