Statistiques sur 24 heures après l'installation d'un pot de miel sur un nœud Digital Ocean à Singapour
Pan Pan! Commençons tout de suite par la carte d'attaque
Notre carte super cool montre les ASN uniques qui se sont connectés à notre pot de miel Cowrie dans les 24 heures. Le jaune correspond aux connexions SSH et le rouge correspond à Telnet. De telles animations impressionnent souvent le conseil d'administration de l'entreprise, ce qui peut contribuer à obtenir davantage de financements pour la sécurité et les ressources. Cependant, la carte a une certaine valeur, montrant clairement la répartition géographique et organisationnelle des sources d'attaque sur notre hôte en seulement 24 heures. L'animation ne reflète pas la quantité de trafic provenant de chaque source.
Qu’est-ce qu’une carte Pew Pew ?
Banc de Banc, Carte - Est
Réalisé avec Leafletjs
Pour ceux qui souhaitent concevoir une carte d'attaque pour grand écran dans le centre d'opérations (votre patron va adorer), il existe une bibliothèque
WTF : c'est quoi ce pot de miel Cowrie ?
Honeypot est un système placé sur le réseau spécifiquement pour attirer les attaquants. Les connexions au système sont généralement illégales et vous permettent de détecter l'attaquant à l'aide de journaux détaillés. Les journaux stockent non seulement les informations de connexion régulières, mais également les informations de session qui révèlent techniques, tactiques et procédures (TTP) intrus.
Mon message aux entreprises qui pensent qu'elles ne seront pas attaquées : "Vous cherchez bien".
—James Snook
Qu'y a-t-il dans les journaux ?
Nombre total de connexions
De nombreux hôtes ont tenté de se connecter à plusieurs reprises. C'est normal, car les scripts d'attaque disposent d'une liste complète d'informations d'identification et tentent plusieurs combinaisons. Le Cowrie Honeypot est configuré pour accepter certaines combinaisons de nom d'utilisateur et de mot de passe. Ceci est configuré dans fichier utilisateur.db.
Géographie des attaques
Grâce aux données de géolocalisation Maxmind, j'ai compté le nombre de connexions de chaque pays. Le Brésil et la Chine sont largement en tête, et les scanners en provenance de ces pays font souvent beaucoup de bruit.
Propriétaire du bloc réseau
La recherche des propriétaires de blocs réseau (ASN) peut identifier les organisations disposant d’un grand nombre d’hôtes attaquants. Bien entendu, dans de tels cas, vous devez toujours garder à l’esprit que de nombreuses attaques proviennent d’hôtes infectés. Il est raisonnable de supposer que la plupart des attaquants ne sont pas assez stupides pour analyser le réseau depuis un ordinateur personnel.
Ports ouverts sur les systèmes attaquants (données de Shodan.io)
Exécution de la liste IP grâce à un excellent
Une découverte intéressante est le grand nombre de systèmes au Brésil qui ont pas ouvert 22, 23 ou d'autres ports, selon Censys et Shodan. Apparemment, ce sont des connexions provenant des ordinateurs des utilisateurs finaux.
Des robots ? Pas nécessaire
Données
Mais ici, vous pouvez voir que seul un petit nombre d'hôtes analysant Telnet ont ouvert vers l'extérieur le port 23. Cela signifie que les systèmes sont soit compromis d'une autre manière, soit que les attaquants exécutent des scripts manuellement.
Connexions à domicile
Une autre constatation intéressante était le grand nombre d’utilisateurs à domicile dans l’échantillon. En utilisant recherche inversée J'ai identifié 105 connexions à partir d'ordinateurs personnels spécifiques. Pour de nombreuses connexions domestiques, une recherche DNS inversée affiche le nom d'hôte avec les mots DSL, Home, Cable, Fiber, etc.
Apprendre et explorer : élevez votre propre pot de miel
J'ai récemment écrit un court tutoriel sur la façon de
Au lieu d'exécuter Cowrie sur Internet et de capter tout le bruit, vous pouvez bénéficier du pot de miel sur votre réseau local. Définissez constamment une notification si des demandes sont envoyées à certains ports. Il s'agit soit d'un attaquant à l'intérieur du réseau, soit d'un employé curieux, soit d'une analyse de vulnérabilité.
résultats
Après avoir observé les actions des attaquants sur une période de XNUMX heures, il devient clair qu'il est impossible d'identifier une source claire d'attaques dans une organisation, un pays ou même un système d'exploitation.
La large répartition des sources montre que le bruit de balayage est constant et n'est pas associé à une source spécifique. Quiconque travaille sur Internet doit s'assurer que son système plusieurs niveaux de sécurité. Une solution commune et efficace pour SSH le service sera déplacé vers un port élevé aléatoire. Cela n’élimine pas la nécessité d’une protection et d’une surveillance strictes par mot de passe, mais garantit au moins que les journaux ne sont pas obstrués par une analyse constante. Les connexions à port élevé sont plus susceptibles d'être des attaques ciblées, ce qui peut vous intéresser.
Les ports Telnet ouverts se trouvent souvent sur des routeurs ou d'autres appareils, ils ne peuvent donc pas être facilement déplacés vers un port élevé.
Source: habr.com