Statistika za 24 sata nakon instaliranja honeypota na čvoru Digital Ocean u Singapuru
Pew Pew! Krenimo odmah s mapom napada
Naša super cool karta prikazuje jedinstvene ASN-ove koji su se povezali s našim Cowrie honeypotom unutar 24 sata. Žuto odgovara SSH vezama, a crveno Telnetu. Takve animacije često impresioniraju upravni odbor tvrtke, što može pomoći u osiguravanju više sredstava za sigurnost i resurse. Međutim, karta ima određenu vrijednost, jer jasno prikazuje geografsko i organizacijsko širenje izvora napada na naše računalo u samo 24 sata. Animacija ne odražava količinu prometa iz svakog izvora.
Što je Pew Pew karta?
Karta Pew Pew - Je
Izrađeno s Leafletjsom
Za one koji žele dizajnirati mapu napada za veliki ekran u operativnom centru (vaš će se šef svidjeti), postoji knjižnica
WTF: što je ovo Cowrie honeypot?
Honeypot je sustav koji se postavlja na mrežu posebno kako bi namamio napadače. Veze sa sustavom obično su ilegalne i omogućuju otkrivanje napadača pomoću detaljnih zapisa. Dnevnici pohranjuju ne samo redovite informacije o povezivanju, već i informacije o sesiji koje otkrivaju tehnike, taktike i procedure (TTP) uljez.
Moja poruka tvrtkama koje misle da neće biti napadnute: "Dobro tražite."
— James Snook
Što je u zapisima?
Ukupan broj veza
Bilo je ponovljenih pokušaja povezivanja s mnogih hostova. To je normalno jer napadačke skripte imaju potpuni popis vjerodajnica i isprobavaju nekoliko kombinacija. Cowrie Honeypot je konfiguriran za prihvaćanje određenih kombinacija korisničkog imena i lozinke. Ovo je konfigurirano u user.db datoteka.
Geografija napada
Koristeći geolokacijske podatke Maxminda, prebrojao sam broj veza iz svake zemlje. Brazil i Kina vode s velikom razlikom, a često postoji mnogo buke od skenera koji dolaze iz tih zemalja.
Vlasnik mrežnog bloka
Istraživanje vlasnika mrežnih blokova (ASN) može identificirati organizacije s velikim brojem napadačkih računala. Naravno, u takvim slučajevima uvijek trebate imati na umu da mnogi napadi dolaze od zaraženih domaćina. Razumno je pretpostaviti da većina napadača nije dovoljno glupa da skenira mrežu s kućnog računala.
Otvoreni portovi na napadačkim sustavima (podaci iz Shodan.io)
Provjera popisa IP adresa izvrsno
Zanimljivo otkriće je velik broj sustava u Brazilu koji imaju nije otvoreno 22, 23 ili druge luke, prema Censys i Shodan. Očito su to veze s računala krajnjih korisnika.
Botovi? Nije potrebno
Podaci
Ali ovdje možete vidjeti da samo mali broj hostova koji skeniraju telnet ima prema van otvoren port 23. To znači da su sustavi ili ugroženi na neki drugi način ili napadači ručno pokreću skripte.
Kućni priključci
Još jedno zanimljivo otkriće bio je velik broj kućnih korisnika u uzorku. Pomoću obrnuto traženje Identificirao sam 105 veza s određenih kućnih računala. Za mnoge kućne veze, obrnuto DNS traženje prikazuje naziv glavnog računala s riječima dsl, home, cable, fiber i tako dalje.
Učite i istražujte: podignite vlastiti lonac za med
Nedavno sam napisao kratki vodič o tome kako
Umjesto da pokrećete Cowrie na internetu i hvatate svu buku, možete imati koristi od honeypota na svojoj lokalnoj mreži. Konstantno postavite obavijest ako se zahtjevi šalju na određene portove. Ovo je ili napadač unutar mreže, ili znatiželjni zaposlenik, ili skeniranje ranjivosti.
Zaključci
Nakon pregleda djelovanja napadača u razdoblju od XNUMX sata, postaje jasno da je nemoguće identificirati jasan izvor napada u bilo kojoj organizaciji, državi ili čak operativnom sustavu.
Široka distribucija izvora pokazuje da je šum skeniranja konstantan i da nije povezan s određenim izvorom. Svatko tko radi na Internetu mora osigurati da njegov sustav nekoliko sigurnosnih razina. Uobičajeno i učinkovito rješenje za SSH usluga će se premjestiti na slučajni visoki priključak. Ovo ne eliminira potrebu za strogom zaštitom lozinkom i nadzorom, ali barem osigurava da zapisi nisu začepljeni stalnim skeniranjem. Veća je vjerojatnost da će veze s visokim portovima biti ciljani napadi, što bi vas moglo zanimati.
Često su otvoreni telnet portovi na usmjerivačima ili drugim uređajima, tako da se ne mogu lako premjestiti na visoki port.
Izvor: www.habr.com