Statistiques sur 24 heures après l'installation d'un pot de miel sur un nœud Digital Ocean à Singapour
Pan Pan! Commençons tout de suite par la carte d'attaque
Notre carte super cool montre les ASN uniques qui se sont connectés à notre pot de miel Cowrie dans les 24 heures. Le jaune correspond aux connexions SSH et le rouge correspond à Telnet. De telles animations impressionnent souvent le conseil d'administration de l'entreprise, ce qui peut contribuer à obtenir davantage de financements pour la sécurité et les ressources. Cependant, la carte a une certaine valeur, montrant clairement la répartition géographique et organisationnelle des sources d'attaque sur notre hôte en seulement 24 heures. L'animation ne reflète pas la quantité de trafic provenant de chaque source.
Qu’est-ce qu’une carte Pew Pew ?
Banc de Banc, Carte - Est , généralement animé et très beau. C'est une façon sophistiquée de vendre votre produit, tristement célèbre utilisée par Norse Corp. L'entreprise a mal fini : il s'est avéré que de belles animations étaient leur seul avantage et ils ont utilisé des données fragmentaires pour l'analyse.
Réalisé avec Leafletjs
Pour ceux qui souhaitent concevoir une carte d'attaque pour grand écran dans le centre d'opérations (votre patron va adorer), il existe une bibliothèque . Nous le combinons avec le plugin , Service Maxmind GeoIP - .
WTF : c'est quoi ce pot de miel Cowrie ?
Honeypot est un système placé sur le réseau spécifiquement pour attirer les attaquants. Les connexions au système sont généralement illégales et vous permettent de détecter l'attaquant à l'aide de journaux détaillés. Les journaux stockent non seulement les informations de connexion régulières, mais également les informations de session qui révèlent techniques, tactiques et procédures (TTP) intrus.
créé pour Enregistrements de connexion SSH et Telnet. De tels pots de miel sont souvent installés sur Internet pour suivre les outils, les scripts et les hôtes des attaquants.
Mon message aux entreprises qui pensent qu'elles ne seront pas attaquées : "Vous cherchez bien".
—James Snook
Qu'y a-t-il dans les journaux ?
Nombre total de connexions
De nombreux hôtes ont tenté de se connecter à plusieurs reprises. C'est normal, car les scripts d'attaque disposent d'une liste complète d'informations d'identification et tentent plusieurs combinaisons. Le Cowrie Honeypot est configuré pour accepter certaines combinaisons de nom d'utilisateur et de mot de passe. Ceci est configuré dans fichier utilisateur.db.
Géographie des attaques
Grâce aux données de géolocalisation Maxmind, j'ai compté le nombre de connexions de chaque pays. Le Brésil et la Chine sont largement en tête, et les scanners en provenance de ces pays font souvent beaucoup de bruit.
Propriétaire du bloc réseau
La recherche des propriétaires de blocs réseau (ASN) peut identifier les organisations disposant d’un grand nombre d’hôtes attaquants. Bien entendu, dans de tels cas, vous devez toujours garder à l’esprit que de nombreuses attaques proviennent d’hôtes infectés. Il est raisonnable de supposer que la plupart des attaquants ne sont pas assez stupides pour analyser le réseau depuis un ordinateur personnel.
Ports ouverts sur les systèmes attaquants (données de Shodan.io)
Exécution de la liste IP grâce à un excellent identifie rapidement systèmes avec ports ouverts et quels sont ces ports ? La figure ci-dessous montre la concentration des ports ouverts par pays et organisation. Il serait possible d'identifier les blocs de systèmes compromis, mais dans les limites petit échantillon rien d'exceptionnel n'est visible, à l'exception d'un grand nombre 500 ports ouverts en Chine.
Une découverte intéressante est le grand nombre de systèmes au Brésil qui ont pas ouvert 22, 23 ou d'autres ports, selon Censys et Shodan. Apparemment, ce sont des connexions provenant des ordinateurs des utilisateurs finaux.
Des robots ? Pas nécessaire
Données pour les ports 22 et 23, ils ont montré quelque chose d'étrange ce jour-là. J'ai supposé que la plupart des analyses et attaques par mot de passe provenaient de robots. Le script se propage sur les ports ouverts, devine les mots de passe, se copie à partir du nouveau système et continue de se propager en utilisant la même méthode.
Mais ici, vous pouvez voir que seul un petit nombre d'hôtes analysant Telnet ont ouvert vers l'extérieur le port 23. Cela signifie que les systèmes sont soit compromis d'une autre manière, soit que les attaquants exécutent des scripts manuellement.
Connexions à domicile
Une autre constatation intéressante était le grand nombre d’utilisateurs à domicile dans l’échantillon. En utilisant recherche inversée J'ai identifié 105 connexions à partir d'ordinateurs personnels spécifiques. Pour de nombreuses connexions domestiques, une recherche DNS inversée affiche le nom d'hôte avec les mots DSL, Home, Cable, Fiber, etc.
Apprendre et explorer : élevez votre propre pot de miel
J'ai récemment écrit un court tutoriel sur la façon de . Comme déjà mentionné, dans notre cas, nous avons utilisé Digital Ocean VPS à Singapour. Pour 24 heures d'analyse, le coût était littéralement de quelques centimes et le temps d'assemblage du système était de 30 minutes.
Au lieu d'exécuter Cowrie sur Internet et de capter tout le bruit, vous pouvez bénéficier du pot de miel sur votre réseau local. Définissez constamment une notification si des demandes sont envoyées à certains ports. Il s'agit soit d'un attaquant à l'intérieur du réseau, soit d'un employé curieux, soit d'une analyse de vulnérabilité.
résultats
Après avoir observé les actions des attaquants sur une période de XNUMX heures, il devient clair qu'il est impossible d'identifier une source claire d'attaques dans une organisation, un pays ou même un système d'exploitation.
La large répartition des sources montre que le bruit de balayage est constant et n'est pas associé à une source spécifique. Quiconque travaille sur Internet doit s'assurer que son système plusieurs niveaux de sécurité. Une solution commune et efficace pour SSH le service sera déplacé vers un port élevé aléatoire. Cela n’élimine pas la nécessité d’une protection et d’une surveillance strictes par mot de passe, mais garantit au moins que les journaux ne sont pas obstrués par une analyse constante. Les connexions à port élevé sont plus susceptibles d'être des attaques ciblées, ce qui peut vous intéresser.
Les ports Telnet ouverts se trouvent souvent sur des routeurs ou d'autres appareils, ils ne peuvent donc pas être facilement déplacés vers un port élevé. и est le seul moyen de garantir que ces services sont protégés par un pare-feu ou désactivés. Si possible, vous ne devez pas utiliser Telnet du tout ; ce protocole n'est pas crypté. Si vous en avez besoin et que vous ne pouvez pas vous en passer, surveillez-le attentivement et utilisez des mots de passe forts.
Source: habr.com