Statistik selama 24 jam setelah memasang honeypot pada node Digital Ocean di Singapura
Pew pew! Mari kita mulai dengan peta serangan
Peta super keren kami menunjukkan ASN unik yang terhubung ke honeypot Cowrie kami dalam waktu 24 jam. Kuning melambangkan koneksi SSH, dan merah melambangkan Telnet. Animasi semacam itu sering kali mengesankan dewan direksi perusahaan, sehingga dapat membantu mendapatkan lebih banyak pendanaan untuk keamanan dan sumber daya. Namun, peta tersebut memiliki nilai tertentu, dengan jelas menunjukkan penyebaran sumber serangan secara geografis dan organisasional pada host kami hanya dalam 24 jam. Animasi tidak mencerminkan jumlah lalu lintas dari masing-masing sumber.
Apa itu peta Pew Pew?
Peta Pew Pew - Apakah
Dibuat dengan Leafletjs
Bagi mereka yang ingin merancang peta serangan untuk layar lebar di pusat operasi (bos Anda akan menyukainya), terdapat perpustakaan
WTF: apa ini honeypot Cowrie?
Honeypot adalah sistem yang ditempatkan pada jaringan khusus untuk memancing penyerang. Koneksi ke sistem biasanya ilegal dan memungkinkan Anda mendeteksi penyerang menggunakan log terperinci. Log tidak hanya menyimpan informasi koneksi reguler, tetapi juga informasi sesi yang terungkap teknik, taktik dan prosedur (TTP) pengacau.
Pesan saya kepada perusahaan-perusahaan yang berpikir bahwa mereka tidak akan diserang: "Anda sedang berusaha keras."
βJames Snook
Apa yang ada di log?
Jumlah total koneksi
Ada upaya koneksi berulang kali dari banyak host. Ini normal, karena skrip penyerang memiliki daftar kredensial lengkap dan mencoba beberapa kombinasi. Cowrie Honeypot dikonfigurasi untuk menerima kombinasi nama pengguna dan kata sandi tertentu. Ini dikonfigurasikan di file pengguna.db.
Geografi serangan
Dengan menggunakan data geolokasi Maxmind, saya menghitung jumlah koneksi dari setiap negara. Brasil dan Tiongkok memimpin dengan selisih yang besar, dan sering kali terdapat banyak gangguan dari pemindai yang berasal dari negara-negara tersebut.
Pemilik blok jaringan
Meneliti pemilik blok jaringan (ASN) dapat mengidentifikasi organisasi dengan sejumlah besar host penyerang. Tentu saja, dalam kasus seperti ini Anda harus selalu ingat bahwa banyak serangan datang dari host yang terinfeksi. Masuk akal untuk berasumsi bahwa sebagian besar penyerang tidak cukup bodoh untuk memindai Jaringan dari komputer di rumah.
Buka port pada sistem penyerang (data dari Shodan.io)
Menjalankan daftar IP dengan sangat baik
Temuan yang menarik adalah banyaknya sistem di Brasil yang memilikinya tidak terbuka 22, 23 ΠΈΠ»ΠΈ port lainnya, menurut Censys dan Shodan. Tampaknya ini adalah koneksi dari komputer pengguna akhir.
Bot? Tidak perlu
Data
Namun di sini Anda dapat melihat bahwa hanya sejumlah kecil host yang memindai telnet yang memiliki port terbuka ke luar 23. Ini berarti bahwa sistem disusupi dengan cara lain, atau penyerang menjalankan skrip secara manual.
Koneksi rumah
Temuan menarik lainnya adalah banyaknya jumlah pengguna rumahan dalam sampel. Dengan menggunakan pencarian terbalik Saya mengidentifikasi 105 koneksi dari komputer rumah tertentu. Untuk banyak koneksi rumah, pencarian DNS terbalik menampilkan nama host dengan kata dsl, home, cable, fiber, dan seterusnya.
Pelajari dan Jelajahi: Angkat Honeypot Anda Sendiri
Saya baru-baru ini menulis tutorial singkat tentang caranya
Daripada menjalankan Cowrie di internet dan menangkap semua kebisingan, Anda bisa mendapatkan keuntungan dari honeypot di jaringan lokal Anda. Selalu atur notifikasi jika permintaan dikirim ke port tertentu. Ini bisa berupa penyerang di dalam jaringan, atau karyawan yang penasaran, atau pemindaian kerentanan.
Temuan
Setelah melihat tindakan penyerang selama periode XNUMX jam, menjadi jelas bahwa tidak mungkin mengidentifikasi sumber serangan yang jelas di organisasi, negara, atau bahkan sistem operasi mana pun.
Distribusi sumber yang luas menunjukkan bahwa noise pemindaian bersifat konstan dan tidak terkait dengan sumber tertentu. Siapa pun yang bekerja di Internet harus memastikan sistemnya beberapa tingkat keamanan. Solusi umum dan efektif untuk SSH layanan akan berpindah ke port tinggi acak. Hal ini tidak menghilangkan kebutuhan akan perlindungan dan pemantauan kata sandi yang ketat, namun setidaknya memastikan bahwa log tidak tersumbat oleh pemindaian terus-menerus. Koneksi port yang tinggi lebih mungkin menjadi sasaran serangan, yang mungkin menarik bagi Anda.
Seringkali port telnet yang terbuka ada di router atau perangkat lain, sehingga tidak dapat dengan mudah dipindahkan ke port yang tinggi.
Sumber: www.habr.com