Tölfræði í 24 klukkustundir eftir uppsetningu hunangspotts á Digital Ocean hnút í Singapúr
Pew Pew! Byrjum strax á sóknarkortinu
Ofur flott kortið okkar sýnir einstaka ASN sem tengdust Cowrie hunangspottinum okkar innan 24 klukkustunda. Gulur samsvarar SSH tengingum og rauður samsvarar Telnet. Slíkar hreyfimyndir hafa oft áhrif á stjórn fyrirtækisins, sem getur hjálpað til við að tryggja meira fjármagn til öryggis og fjármagns. Hins vegar hefur kortið nokkurt gildi, sem sýnir greinilega landfræðilega og skipulagslega útbreiðslu árásarheimilda á gestgjafann okkar á aðeins 24 klukkustundum. Hreyfimyndin endurspeglar ekki umferðarmagn frá hverjum uppruna.
Hvað er Pew Pew kort?
Pew Pew kort - Er , venjulega líflegur og mjög fallegur. Það er fín leið til að selja vöruna þína, sem er alræmd notuð af Norse Corp. Fyrirtækið endaði illa: það kom í ljós að fallegar hreyfimyndir voru eini kosturinn þeirra og þeir notuðu brotakennd gögn til greiningar.
Gert með Leafletjs
Fyrir þá sem vilja hanna árásarkort fyrir stóra skjáinn í rekstrarmiðstöðinni (yfirmaður þinn mun elska það), er bókasafn . Við sameinum það með viðbótinni , Maxmind GeoIP þjónusta - .
WTF: hvað er þessi Cowrie hunangspottur?
Honeypot er kerfi sem er sett á netið sérstaklega til að lokka árásarmenn. Tengingar við kerfið eru venjulega ólöglegar og gera þér kleift að greina árásarmanninn með því að nota nákvæma annála. Logs geymir ekki aðeins reglulegar tengingarupplýsingar, heldur einnig lotuupplýsingar sem leiða í ljós tækni, tækni og verklag (TTP) boðflenna.
búið til fyrir SSH og Telnet tengingarskrár. Slíkir hunangspottar eru oft settir á internetið til að fylgjast með verkfærum, forskriftum og vélum árásarmanna.
Skilaboð mín til fyrirtækja sem halda að ekki verði ráðist á þau: "Þú leitar vel."
— James Snook
Hvað er í loggunum?
Heildarfjöldi tenginga
Það voru ítrekaðar tengingartilraunir frá mörgum gestgjöfum. Þetta er eðlilegt, þar sem árásarforskriftir hafa fullan lista yfir skilríki og prófa nokkrar samsetningar. Cowrie Honeypot er stillt til að samþykkja ákveðin notendanafn og lykilorð samsetningar. Þetta er stillt í user.db skrá.
Landafræði árása
Með því að nota Maxmind landfræðilega staðsetningargögn taldi ég fjölda tenginga frá hverju landi. Brasilía og Kína leiða með miklum mun og oft er mikill hávaði frá skönnum sem koma frá þessum löndum.
Eigandi netblokkar
Með því að rannsaka eigendur netblokka (ASN) er hægt að bera kennsl á stofnanir með fjölda árásargestgjafa. Auðvitað, í slíkum tilfellum, ættirðu alltaf að muna að margar árásir koma frá sýktum hýsingum. Það er sanngjarnt að gera ráð fyrir að flestir árásarmenn séu ekki nógu heimskir til að skanna netið úr heimatölvu.
Opna höfn á árásarkerfum (gögn frá Shodan.io)
Að keyra IP listann í gegnum frábært greinir fljótt kerfi með opnum höfnum og hvaða höfn eru þetta? Myndin hér að neðan sýnir samþjöppun opinna hafna eftir löndum og stofnunum. Það væri hægt að bera kennsl á blokkir kerfis sem eru í hættu, en innan lítið sýnishorn ekkert útistandandi er sýnilegt, nema mikill fjöldi 500 opnar hafnir í Kína.
Athyglisverð uppgötvun er mikill fjöldi kerfa í Brasilíu sem hafa ekki opið 22, 23 eða aðrar hafnir, samkvæmt Censys og Shodan. Svo virðist sem þetta séu tengingar frá notendatölvum.
Bottar? Óþarfi
Gögn fyrir höfn 22 og 23 sýndu þeir eitthvað skrítið þennan dag. Ég gerði ráð fyrir að flestar skannar og lykilorðaárásir kæmu frá vélmennum. Handritið dreifist yfir opnar gáttir, giska á lykilorð og afritar sig úr nýja kerfinu og heldur áfram að dreifa með sömu aðferð.
En hér geturðu séð að aðeins fáir vélar sem skanna telnet eru með opið ytra gátt 23. Þetta þýðir að kerfin eru annaðhvort í hættu á annan hátt eða árásarmenn keyra forskriftir handvirkt.
Heimilistengingar
Önnur áhugaverð niðurstaða var mikill fjöldi heimanotenda í úrtakinu. Með því að nota öfugri uppflettingu Ég greindi 105 tengingar frá tilteknum heimilistölvum. Fyrir margar heimatengingar sýnir öfug DNS leit hýsingarheitið með orðunum dsl, home, cable, fiber, og svo framvegis.
Lærðu og skoðaðu: Hækkaðu þinn eigin hunangspott
Ég skrifaði nýlega stutt kennsluefni um hvernig á að gera það . Eins og áður hefur komið fram, í okkar tilviki notuðum við Digital Ocean VPS í Singapúr. Fyrir 24 klukkustunda greiningu var kostnaðurinn bókstaflega nokkur sent og tíminn til að setja kerfið saman var 30 mínútur.
Í stað þess að keyra Cowrie á netinu og ná öllum hávaðanum geturðu notið góðs af honeypot á staðarnetinu þínu. Stilltu stöðugt tilkynningu ef beiðnir eru sendar til ákveðinna hafna. Þetta er annað hvort árásarmaður inni á netinu, eða forvitinn starfsmaður, eða varnarleysisskönnun.
Niðurstöður
Eftir að hafa skoðað aðgerðir árásarmanna yfir sólarhring, verður ljóst að það er ómögulegt að greina skýra uppsprettu árása í hvaða stofnun, landi eða jafnvel stýrikerfi.
Mikil dreifing heimilda sýnir að skannahljóð er stöðugt og tengist ekki tiltekinni uppsprettu. Allir sem vinna á Netinu verða að tryggja að kerfið þeirra nokkur öryggisstig. Algeng og áhrifarík lausn fyrir SSH þjónustan mun flytja í handahófskennda háhöfn. Þetta útilokar ekki þörfina fyrir stranga lykilorðavernd og eftirlit, en tryggir að minnsta kosti að annálarnir stíflist ekki við stöðuga skönnun. Háar hafnartengingar eru líklegri til að vera markvissar árásir, sem gætu verið áhugaverðar fyrir þig.
Oft eru opin telnet tengi á beinum eða öðrum tækjum, svo ekki er auðvelt að færa þau yfir á háan höfn. и er eina leiðin til að tryggja að þessi þjónusta sé eldvegg eða óvirk. Ef mögulegt er, ættir þú alls ekki að nota Telnet; þessi samskiptaregla er ekki dulkóðuð. Ef þú þarft á því að halda og getur ekki verið án þess skaltu fylgjast vandlega með því og nota sterk lykilorð.
Heimild: www.habr.com