Statistik selama 24 jam setelah memasang honeypot pada node Digital Ocean di Singapura
Pew pew! Mari kita mulai dengan peta serangan
Peta super keren kami menunjukkan ASN unik yang terhubung ke honeypot Cowrie kami dalam waktu 24 jam. Kuning melambangkan koneksi SSH, dan merah melambangkan Telnet. Animasi semacam itu sering kali mengesankan dewan direksi perusahaan, sehingga dapat membantu mendapatkan lebih banyak pendanaan untuk keamanan dan sumber daya. Namun, peta tersebut memiliki nilai tertentu, dengan jelas menunjukkan penyebaran sumber serangan secara geografis dan organisasional pada host kami hanya dalam 24 jam. Animasi tidak mencerminkan jumlah lalu lintas dari masing-masing sumber.
Apa itu peta Pew Pew?
Peta Pew Pew - Apakah , biasanya animasi dan sangat indah. Ini adalah cara yang bagus untuk menjual produk Anda, yang terkenal digunakan oleh Norse Corp. Perusahaan tersebut berakhir buruk: ternyata animasi yang indah adalah satu-satunya keuntungan mereka, dan mereka menggunakan data yang terpisah-pisah untuk analisis.
Dibuat dengan Leafletjs
Bagi mereka yang ingin merancang peta serangan untuk layar lebar di pusat operasi (bos Anda akan menyukainya), terdapat perpustakaan . Kami menggabungkannya dengan plugin , layanan Maxmind GeoIP - .
WTF: apa ini honeypot Cowrie?
Honeypot adalah sistem yang ditempatkan pada jaringan khusus untuk memancing penyerang. Koneksi ke sistem biasanya ilegal dan memungkinkan Anda mendeteksi penyerang menggunakan log terperinci. Log tidak hanya menyimpan informasi koneksi reguler, tetapi juga informasi sesi yang terungkap teknik, taktik dan prosedur (TTP) pengacau.
dibuat untuk Catatan koneksi SSH dan Telnet. Honeypot semacam itu sering kali dipasang di Internet untuk melacak alat, skrip, dan host penyerang.
Pesan saya kepada perusahaan-perusahaan yang berpikir bahwa mereka tidak akan diserang: "Anda sedang berusaha keras."
βJames Snook
Apa yang ada di log?
Jumlah total koneksi
Ada upaya koneksi berulang kali dari banyak host. Ini normal, karena skrip penyerang memiliki daftar kredensial lengkap dan mencoba beberapa kombinasi. Cowrie Honeypot dikonfigurasi untuk menerima kombinasi nama pengguna dan kata sandi tertentu. Ini dikonfigurasikan di file pengguna.db.
Geografi serangan
Dengan menggunakan data geolokasi Maxmind, saya menghitung jumlah koneksi dari setiap negara. Brasil dan Tiongkok memimpin dengan selisih yang besar, dan sering kali terdapat banyak gangguan dari pemindai yang berasal dari negara-negara tersebut.
Pemilik blok jaringan
Meneliti pemilik blok jaringan (ASN) dapat mengidentifikasi organisasi dengan sejumlah besar host penyerang. Tentu saja, dalam kasus seperti ini Anda harus selalu ingat bahwa banyak serangan datang dari host yang terinfeksi. Masuk akal untuk berasumsi bahwa sebagian besar penyerang tidak cukup bodoh untuk memindai Jaringan dari komputer di rumah.
Buka port pada sistem penyerang (data dari Shodan.io)
Menjalankan daftar IP dengan sangat baik dengan cepat mengidentifikasi sistem dengan port terbuka dan apa port ini? Gambar di bawah menunjukkan konsentrasi pelabuhan terbuka menurut negara dan organisasi. Dimungkinkan untuk mengidentifikasi blok-blok sistem yang disusupi, tetapi dalam batas-batasnya sampel kecil tidak ada yang menonjol yang terlihat, kecuali sejumlah besar 500 pelabuhan terbuka di Cina.
Temuan yang menarik adalah banyaknya sistem di Brasil yang memilikinya tidak terbuka 22, 23 ΠΈΠ»ΠΈ port lainnya, menurut Censys dan Shodan. Tampaknya ini adalah koneksi dari komputer pengguna akhir.
Bot? Tidak perlu
Data untuk port 22 dan 23 mereka menunjukkan sesuatu yang aneh hari itu. Saya berasumsi bahwa sebagian besar pemindaian dan serangan kata sandi berasal dari bot. Script menyebar melalui port terbuka, menebak kata sandi, dan menyalin dirinya sendiri dari sistem baru dan terus menyebar menggunakan metode yang sama.
Namun di sini Anda dapat melihat bahwa hanya sejumlah kecil host yang memindai telnet yang memiliki port terbuka ke luar 23. Ini berarti bahwa sistem disusupi dengan cara lain, atau penyerang menjalankan skrip secara manual.
Koneksi rumah
Temuan menarik lainnya adalah banyaknya jumlah pengguna rumahan dalam sampel. Dengan menggunakan pencarian terbalik Saya mengidentifikasi 105 koneksi dari komputer rumah tertentu. Untuk banyak koneksi rumah, pencarian DNS terbalik menampilkan nama host dengan kata dsl, home, cable, fiber, dan seterusnya.
Pelajari dan Jelajahi: Angkat Honeypot Anda Sendiri
Saya baru-baru ini menulis tutorial singkat tentang caranya . Seperti yang telah disebutkan, dalam kasus kami, kami menggunakan VPS Digital Ocean di Singapura. Untuk analisis 24 jam, biayanya hanya beberapa sen, dan waktu untuk merakit sistem adalah 30 menit.
Daripada menjalankan Cowrie di internet dan menangkap semua kebisingan, Anda bisa mendapatkan keuntungan dari honeypot di jaringan lokal Anda. Selalu atur notifikasi jika permintaan dikirim ke port tertentu. Ini bisa berupa penyerang di dalam jaringan, atau karyawan yang penasaran, atau pemindaian kerentanan.
Temuan
Setelah melihat tindakan penyerang selama periode XNUMX jam, menjadi jelas bahwa tidak mungkin mengidentifikasi sumber serangan yang jelas di organisasi, negara, atau bahkan sistem operasi mana pun.
Distribusi sumber yang luas menunjukkan bahwa noise pemindaian bersifat konstan dan tidak terkait dengan sumber tertentu. Siapa pun yang bekerja di Internet harus memastikan sistemnya beberapa tingkat keamanan. Solusi umum dan efektif untuk SSH layanan akan berpindah ke port tinggi acak. Hal ini tidak menghilangkan kebutuhan akan perlindungan dan pemantauan kata sandi yang ketat, namun setidaknya memastikan bahwa log tidak tersumbat oleh pemindaian terus-menerus. Koneksi port yang tinggi lebih mungkin menjadi sasaran serangan, yang mungkin menarik bagi Anda.
Seringkali port telnet yang terbuka ada di router atau perangkat lain, sehingga tidak dapat dengan mudah dipindahkan ke port yang tinggi. ΠΈ adalah satu-satunya cara untuk memastikan bahwa layanan ini dilindungi firewall atau dinonaktifkan. Jika memungkinkan, Anda sebaiknya tidak menggunakan Telnet sama sekali; protokol ini tidak dienkripsi. Jika Anda membutuhkannya dan tidak bisa hidup tanpanya, pantau dengan cermat dan gunakan kata sandi yang kuat.
Sumber: www.habr.com