Statisztikák 24 órán keresztül, miután egy szingapúri Digital Ocean csomópontra telepítették a mézesedényt
Pew Pew! Kezdjük mindjárt a támadási térképpel
Szupermenő térképünk azokat az egyedi ASN-eket mutatja, amelyek 24 órán belül csatlakoztak a Cowrie mézesedényünkhöz. A sárga az SSH-kapcsolatoknak, a piros pedig a Telnet-nek felel meg. Az ilyen animációk gyakran lenyűgözik a vállalat igazgatótanácsát, ami hozzájárulhat a biztonság és az erőforrások nagyobb mértékű finanszírozásához. A térképnek azonban van némi értéke, jól láthatóan mutatja a támadási források földrajzi és szervezeti elterjedését gazdagépünkön mindössze 24 óra alatt. Az animáció nem tükrözi az egyes forrásokból származó forgalom mennyiségét.
Mi az a Pew Pew térkép?
Pew Pew térkép - Van
Leafletjs-szel készült
Azok számára, akik támadási térképet szeretnének tervezni a nagy képernyőre az operatív központban (a főnöke imádni fogja), van egy könyvtár
WTF: mi ez a Cowrie-mézesedény?
A Honeypot egy olyan rendszer, amelyet kifejezetten a támadók csalogatására helyeznek el a hálózaton. A rendszerhez való csatlakozás általában illegális, és lehetővé teszi a támadó észlelését részletes naplók segítségével. A naplók nem csak a szokásos kapcsolódási információkat tárolják, hanem a munkamenet-információkat is, amelyek felfedik technikák, taktikák és eljárások (TTP) betolakodó.
Üzenem azoknak a cégeknek, akik azt hiszik, hogy nem fogják őket megtámadni: "Keményen keres."
– James Snook
Mi van a naplókban?
Összes kapcsolatok száma
Számos gazdagép ismételten próbálkozott a csatlakozással. Ez normális, mivel a támadási szkriptek a hitelesítő adatok teljes listájával rendelkeznek, és többféle kombinációt is kipróbálhatnak. A Cowrie Honeypot úgy van beállítva, hogy elfogadjon bizonyos felhasználónév és jelszó kombinációkat. Ez be van állítva user.db fájl.
A támadások földrajza
A Maxmind földrajzi helyadatok segítségével megszámoltam az egyes országokból érkező kapcsolatok számát. Brazília és Kína nagy előnnyel vezet, és gyakran nagy zajt keltenek az ezekből az országokból érkező szkennerek.
Hálózati blokk tulajdonosa
A hálózati blokkok (ASN) tulajdonosainak kutatása azonosíthatja azokat a szervezeteket, amelyekben nagyszámú támadó gazdagép található. Természetesen ilyen esetekben mindig emlékezni kell arra, hogy sok támadás fertőzött gazdáktól származik. Ésszerű feltételezni, hogy a legtöbb támadó nem elég ostoba ahhoz, hogy otthoni számítógépről ellenőrizze a hálózatot.
Nyissa meg a portokat a támadó rendszereken (adatok a Shodan.io-ról)
Az IP-lista futtatása kiváló
Érdekes felfedezés a brazíliai rendszerek nagy száma 22-23-án nincs nyitva vagy egyéb portokCensys és Shodan szerint. Nyilvánvalóan ezek a kapcsolatok a végfelhasználói számítógépekről.
Botok? Nem szükséges
Adat
De itt látható, hogy a telnetet vizsgáló gazdagépek közül csak kevés van nyitva a 23-as porton kívülre, ami azt jelenti, hogy vagy más módon feltörték a rendszereket, vagy a támadók manuálisan futtatják a szkripteket.
Otthoni csatlakozások
Egy másik érdekes megállapítás az otthoni felhasználók nagy száma a mintában. Használva fordított keresés 105 kapcsolatot azonosítottam adott otthoni számítógépekről. Számos otthoni kapcsolat esetén a fordított DNS-keresés a gazdagépnevet a dsl, home, cable, fiber stb. szavakkal jeleníti meg.
Tanulj és fedezz fel: Emeld fel saját mézesedényedet
Nemrég írtam egy rövid bemutatót arról, hogyan kell
Ahelyett, hogy az interneten futtatná a Cowrie-t, és elkapná az összes zajt, profitálhat a Honeypot szolgáltatásból a helyi hálózaton. Állandó értesítés beállítása, ha kéréseket küldenek bizonyos portokra. Ez vagy egy támadó a hálózaton belül, vagy egy kíváncsi alkalmazott, vagy egy sebezhetőségi vizsgálat.
Álláspontja
A támadók XNUMX órás tevékenységének megtekintése után világossá válik, hogy egyetlen szervezetben, országban vagy akár operációs rendszerben sem lehet egyértelműen azonosítani a támadások forrását.
A források széles eloszlása azt mutatja, hogy a pásztázási zaj állandó, és nem kapcsolódik egy adott forráshoz. Mindenkinek, aki az interneten dolgozik, gondoskodnia kell arról, hogy rendszere több biztonsági szint. Általános és hatékony megoldás a SSH a szolgáltatás egy véletlenszerűen kiválasztott magas portra kerül. Ez nem szünteti meg a szigorú jelszavas védelem és felügyelet szükségességét, de legalább biztosítja, hogy a naplók ne tömődjenek el a folyamatos ellenőrzéssel. A nagy portos kapcsolatok nagyobb valószínűséggel célzott támadások, amelyek érdekesek lehetnek az Ön számára.
A nyitott telnet portok gyakran útválasztókon vagy más eszközökön találhatók, így nem helyezhetők át könnyen egy magas portra.
Forrás: will.com