Statisztikák 24 órán keresztül, miután egy szingapúri Digital Ocean csomópontra telepítették a mézesedényt
Pew Pew! Kezdjük mindjárt a támadási térképpel
Szupermenő térképünk azokat az egyedi ASN-eket mutatja, amelyek 24 órán belül csatlakoztak a Cowrie mézesedényünkhöz. A sárga az SSH-kapcsolatoknak, a piros pedig a Telnet-nek felel meg. Az ilyen animációk gyakran lenyűgözik a vállalat igazgatótanácsát, ami hozzájárulhat a biztonság és az erőforrások nagyobb mértékű finanszírozásához. A térképnek azonban van némi értéke, jól láthatóan mutatja a támadási források földrajzi és szervezeti elterjedését gazdagépünkön mindössze 24 óra alatt. Az animáció nem tükrözi az egyes forrásokból származó forgalom mennyiségét.
Mi az a Pew Pew térkép?
Pew Pew térkép - Van , általában animált és nagyon szép. Ez egy divatos módja a termék eladásának, amelyet a Norse Corp. hírhedten használt. Rosszul végződött a cég: kiderült, hogy a gyönyörű animációk az egyetlen előnyük, és töredékes adatokat használtak fel az elemzéshez.
Leafletjs-szel készült
Azok számára, akik támadási térképet szeretnének tervezni a nagy képernyőre az operatív központban (a főnöke imádni fogja), van egy könyvtár . Kombináljuk a pluginnal , Maxmind GeoIP szolgáltatás - .
WTF: mi ez a Cowrie-mézesedény?
A Honeypot egy olyan rendszer, amelyet kifejezetten a támadók csalogatására helyeznek el a hálózaton. A rendszerhez való csatlakozás általában illegális, és lehetővé teszi a támadó észlelését részletes naplók segítségével. A naplók nem csak a szokásos kapcsolódási információkat tárolják, hanem a munkamenet-információkat is, amelyek felfedik technikák, taktikák és eljárások (TTP) betolakodó.
számára készült SSH és Telnet kapcsolati rekordok. Az ilyen honeypotokat gyakran felteszik az internetre, hogy nyomon kövessék a támadók eszközeit, szkriptjeit és gazdagépeit.
Üzenem azoknak a cégeknek, akik azt hiszik, hogy nem fogják őket megtámadni: "Keményen keres."
– James Snook
Mi van a naplókban?
Összes kapcsolatok száma
Számos gazdagép ismételten próbálkozott a csatlakozással. Ez normális, mivel a támadási szkriptek a hitelesítő adatok teljes listájával rendelkeznek, és többféle kombinációt is kipróbálhatnak. A Cowrie Honeypot úgy van beállítva, hogy elfogadjon bizonyos felhasználónév és jelszó kombinációkat. Ez be van állítva user.db fájl.
A támadások földrajza
A Maxmind földrajzi helyadatok segítségével megszámoltam az egyes országokból érkező kapcsolatok számát. Brazília és Kína nagy előnnyel vezet, és gyakran nagy zajt keltenek az ezekből az országokból érkező szkennerek.
Hálózati blokk tulajdonosa
A hálózati blokkok (ASN) tulajdonosainak kutatása azonosíthatja azokat a szervezeteket, amelyekben nagyszámú támadó gazdagép található. Természetesen ilyen esetekben mindig emlékezni kell arra, hogy sok támadás fertőzött gazdáktól származik. Ésszerű feltételezni, hogy a legtöbb támadó nem elég ostoba ahhoz, hogy otthoni számítógépről ellenőrizze a hálózatot.
Nyissa meg a portokat a támadó rendszereken (adatok a Shodan.io-ról)
Az IP-lista futtatása kiváló gyorsan azonosítja nyitott portokkal rendelkező rendszerek és mik ezek a portok? Az alábbi ábra a nyitott kikötők koncentrációját mutatja országonként és szervezetenként. Lehetséges lenne azonosítani a kompromittált rendszerek blokkjait, de belül kis minta nagy szám kivételével semmi kiemelkedő nem látható 500 nyitott kikötő Kínában.
Érdekes felfedezés a brazíliai rendszerek nagy száma 22-23-án nincs nyitva vagy egyéb portokCensys és Shodan szerint. Nyilvánvalóan ezek a kapcsolatok a végfelhasználói számítógépekről.
Botok? Nem szükséges
Adat a 22-es és 23-as portoknál valami furcsát mutattak aznap. Feltételeztem, hogy a legtöbb vizsgálat és jelszótámadás botoktól származik. A szkript nyitott portokon terjed, kitalálva jelszavakat, és kimásolja magát az új rendszerből, és ugyanazzal a módszerrel terjed tovább.
De itt látható, hogy a telnetet vizsgáló gazdagépek közül csak kevés van nyitva a 23-as porton kívülre, ami azt jelenti, hogy vagy más módon feltörték a rendszereket, vagy a támadók manuálisan futtatják a szkripteket.
Otthoni csatlakozások
Egy másik érdekes megállapítás az otthoni felhasználók nagy száma a mintában. Használva fordított keresés 105 kapcsolatot azonosítottam adott otthoni számítógépekről. Számos otthoni kapcsolat esetén a fordított DNS-keresés a gazdagépnevet a dsl, home, cable, fiber stb. szavakkal jeleníti meg.
Tanulj és fedezz fel: Emeld fel saját mézesedényedet
Nemrég írtam egy rövid bemutatót arról, hogyan kell . Mint már említettük, esetünkben a Digital Ocean VPS-t használtuk Szingapúrban. A 24 órás elemzés költsége szó szerint néhány cent volt, a rendszer összeszerelésének ideje pedig 30 perc volt.
Ahelyett, hogy az interneten futtatná a Cowrie-t, és elkapná az összes zajt, profitálhat a Honeypot szolgáltatásból a helyi hálózaton. Állandó értesítés beállítása, ha kéréseket küldenek bizonyos portokra. Ez vagy egy támadó a hálózaton belül, vagy egy kíváncsi alkalmazott, vagy egy sebezhetőségi vizsgálat.
Álláspontja
A támadók XNUMX órás tevékenységének megtekintése után világossá válik, hogy egyetlen szervezetben, országban vagy akár operációs rendszerben sem lehet egyértelműen azonosítani a támadások forrását.
A források széles eloszlása azt mutatja, hogy a pásztázási zaj állandó, és nem kapcsolódik egy adott forráshoz. Mindenkinek, aki az interneten dolgozik, gondoskodnia kell arról, hogy rendszere több biztonsági szint. Általános és hatékony megoldás a SSH a szolgáltatás egy véletlenszerűen kiválasztott magas portra kerül. Ez nem szünteti meg a szigorú jelszavas védelem és felügyelet szükségességét, de legalább biztosítja, hogy a naplók ne tömődjenek el a folyamatos ellenőrzéssel. A nagy portos kapcsolatok nagyobb valószínűséggel célzott támadások, amelyek érdekesek lehetnek az Ön számára.
A nyitott telnet portok gyakran útválasztókon vagy más eszközökön találhatók, így nem helyezhetők át könnyen egy magas portra. и Ez az egyetlen módja annak, hogy ezek a szolgáltatások tűzfallal vagy letiltva legyenek. Ha lehetséges, egyáltalán ne használja a Telnetet, ez a protokoll nincs titkosítva. Ha szüksége van rá, és nem tud nélküle, akkor gondosan figyelje, és használjon erős jelszavakat.
Forrás: will.com