Statistika za 24 sata nakon instaliranja honeypota na čvoru Digital Ocean u Singapuru
Pew Pew! Krenimo odmah s mapom napada
Naša super cool karta prikazuje jedinstvene ASN-ove koji su se povezali s našim Cowrie honeypotom unutar 24 sata. Žuto odgovara SSH vezama, a crveno Telnetu. Takve animacije često impresioniraju upravni odbor tvrtke, što može pomoći u osiguravanju više sredstava za sigurnost i resurse. Međutim, karta ima određenu vrijednost, jer jasno prikazuje geografsko i organizacijsko širenje izvora napada na naše računalo u samo 24 sata. Animacija ne odražava količinu prometa iz svakog izvora.
Što je Pew Pew karta?
Karta Pew Pew - Je , obično animirani i vrlo lijepi. To je otmjen način da prodate svoj proizvod, koji zloglasno koristi Norse Corp. Tvrtka je završila loše: pokazalo se da su im lijepe animacije jedina prednost, a za analizu su koristili fragmentarne podatke.
Izrađeno s Leafletjsom
Za one koji žele dizajnirati mapu napada za veliki ekran u operativnom centru (vaš će se šef svidjeti), postoji knjižnica . Kombiniramo ga s dodatkom , Maxmind GeoIP usluga - .
WTF: što je ovo Cowrie honeypot?
Honeypot je sustav koji se postavlja na mrežu posebno kako bi namamio napadače. Veze sa sustavom obično su ilegalne i omogućuju otkrivanje napadača pomoću detaljnih zapisa. Dnevnici pohranjuju ne samo redovite informacije o povezivanju, već i informacije o sesiji koje otkrivaju tehnike, taktike i procedure (TTP) uljez.
stvorena za SSH i Telnet zapisi veze. Takvi se honeypotovi često postavljaju na internet kako bi se pratili alati, skripte i domaćini napadača.
Moja poruka tvrtkama koje misle da neće biti napadnute: "Dobro tražite."
— James Snook
Što je u zapisima?
Ukupan broj veza
Bilo je ponovljenih pokušaja povezivanja s mnogih hostova. To je normalno jer napadačke skripte imaju potpuni popis vjerodajnica i isprobavaju nekoliko kombinacija. Cowrie Honeypot je konfiguriran za prihvaćanje određenih kombinacija korisničkog imena i lozinke. Ovo je konfigurirano u user.db datoteka.
Geografija napada
Koristeći geolokacijske podatke Maxminda, prebrojao sam broj veza iz svake zemlje. Brazil i Kina vode s velikom razlikom, a često postoji mnogo buke od skenera koji dolaze iz tih zemalja.
Vlasnik mrežnog bloka
Istraživanje vlasnika mrežnih blokova (ASN) može identificirati organizacije s velikim brojem napadačkih računala. Naravno, u takvim slučajevima uvijek trebate imati na umu da mnogi napadi dolaze od zaraženih domaćina. Razumno je pretpostaviti da većina napadača nije dovoljno glupa da skenira mrežu s kućnog računala.
Otvoreni portovi na napadačkim sustavima (podaci iz Shodan.io)
Provjera popisa IP adresa izvrsno brzo identificira sustavi s otvorenim priključcima i koji su to portovi? Donja slika prikazuje koncentraciju otvorenih luka prema zemlji i organizaciji. Bilo bi moguće identificirati blokove kompromitiranih sustava, ali unutar mali uzorak ništa izvanredno nije vidljivo, osim velikog broja 500 otvorenih luka u Kini.
Zanimljivo otkriće je velik broj sustava u Brazilu koji imaju nije otvoreno 22, 23 ili druge luke, prema Censys i Shodan. Očito su to veze s računala krajnjih korisnika.
Botovi? Nije potrebno
Podaci za luke 22 i 23 pokazali su nešto čudno taj dan. Pretpostavio sam da većina skeniranja i napada lozinkom dolazi od robota. Skripta se širi preko otvorenih portova, pogađa lozinke, kopira se iz novog sustava i nastavlja se širiti istom metodom.
Ali ovdje možete vidjeti da samo mali broj hostova koji skeniraju telnet ima prema van otvoren port 23. To znači da su sustavi ili ugroženi na neki drugi način ili napadači ručno pokreću skripte.
Kućni priključci
Još jedno zanimljivo otkriće bio je velik broj kućnih korisnika u uzorku. Pomoću obrnuto traženje Identificirao sam 105 veza s određenih kućnih računala. Za mnoge kućne veze, obrnuto DNS traženje prikazuje naziv glavnog računala s riječima dsl, home, cable, fiber i tako dalje.
Učite i istražujte: podignite vlastiti lonac za med
Nedavno sam napisao kratki vodič o tome kako . Kao što je već spomenuto, u našem slučaju koristili smo Digital Ocean VPS u Singapuru. Za 24 sata analize trošak je bio doslovno nekoliko centi, a vrijeme sastavljanja sustava bilo je 30 minuta.
Umjesto da pokrećete Cowrie na internetu i hvatate svu buku, možete imati koristi od honeypota na svojoj lokalnoj mreži. Konstantno postavite obavijest ako se zahtjevi šalju na određene portove. Ovo je ili napadač unutar mreže, ili znatiželjni zaposlenik, ili skeniranje ranjivosti.
Zaključci
Nakon pregleda djelovanja napadača u razdoblju od XNUMX sata, postaje jasno da je nemoguće identificirati jasan izvor napada u bilo kojoj organizaciji, državi ili čak operativnom sustavu.
Široka distribucija izvora pokazuje da je šum skeniranja konstantan i da nije povezan s određenim izvorom. Svatko tko radi na Internetu mora osigurati da njegov sustav nekoliko sigurnosnih razina. Uobičajeno i učinkovito rješenje za SSH usluga će se premjestiti na slučajni visoki priključak. Ovo ne eliminira potrebu za strogom zaštitom lozinkom i nadzorom, ali barem osigurava da zapisi nisu začepljeni stalnim skeniranjem. Veća je vjerojatnost da će veze s visokim portovima biti ciljani napadi, što bi vas moglo zanimati.
Često su otvoreni telnet portovi na usmjerivačima ili drugim uređajima, tako da se ne mogu lako premjestiti na visoki port. и je jedini način da se osigura da su te usluge zaštićene vatrozidom ili onemogućene. Ako je moguće, ne biste trebali uopće koristiti Telnet; ovaj protokol nije šifriran. Ako vam je potrebna i ne možete bez nje, pažljivo je pratite i koristite jake lozinke.
Izvor: www.habr.com