Tölfræði í 24 klukkustundir eftir uppsetningu hunangspotts á Digital Ocean hnút í Singapúr
Pew Pew! Byrjum strax á sóknarkortinu
Ofur flott kortið okkar sýnir einstaka ASN sem tengdust Cowrie hunangspottinum okkar innan 24 klukkustunda. Gulur samsvarar SSH tengingum og rauður samsvarar Telnet. Slíkar hreyfimyndir hafa oft áhrif á stjórn fyrirtækisins, sem getur hjálpað til við að tryggja meira fjármagn til öryggis og fjármagns. Hins vegar hefur kortið nokkurt gildi, sem sýnir greinilega landfræðilega og skipulagslega útbreiðslu árásarheimilda á gestgjafann okkar á aðeins 24 klukkustundum. Hreyfimyndin endurspeglar ekki umferðarmagn frá hverjum uppruna.
Hvað er Pew Pew kort?
Pew Pew kort - Er
Gert með Leafletjs
Fyrir þá sem vilja hanna árásarkort fyrir stóra skjáinn í rekstrarmiðstöðinni (yfirmaður þinn mun elska það), er bókasafn
WTF: hvað er þessi Cowrie hunangspottur?
Honeypot er kerfi sem er sett á netið sérstaklega til að lokka árásarmenn. Tengingar við kerfið eru venjulega ólöglegar og gera þér kleift að greina árásarmanninn með því að nota nákvæma annála. Logs geymir ekki aðeins reglulegar tengingarupplýsingar, heldur einnig lotuupplýsingar sem leiða í ljós tækni, tækni og verklag (TTP) boðflenna.
Skilaboð mín til fyrirtækja sem halda að ekki verði ráðist á þau: "Þú leitar vel."
— James Snook
Hvað er í loggunum?
Heildarfjöldi tenginga
Það voru ítrekaðar tengingartilraunir frá mörgum gestgjöfum. Þetta er eðlilegt, þar sem árásarforskriftir hafa fullan lista yfir skilríki og prófa nokkrar samsetningar. Cowrie Honeypot er stillt til að samþykkja ákveðin notendanafn og lykilorð samsetningar. Þetta er stillt í user.db skrá.
Landafræði árása
Með því að nota Maxmind landfræðilega staðsetningargögn taldi ég fjölda tenginga frá hverju landi. Brasilía og Kína leiða með miklum mun og oft er mikill hávaði frá skönnum sem koma frá þessum löndum.
Eigandi netblokkar
Með því að rannsaka eigendur netblokka (ASN) er hægt að bera kennsl á stofnanir með fjölda árásargestgjafa. Auðvitað, í slíkum tilfellum, ættirðu alltaf að muna að margar árásir koma frá sýktum hýsingum. Það er sanngjarnt að gera ráð fyrir að flestir árásarmenn séu ekki nógu heimskir til að skanna netið úr heimatölvu.
Opna höfn á árásarkerfum (gögn frá Shodan.io)
Að keyra IP listann í gegnum frábært
Athyglisverð uppgötvun er mikill fjöldi kerfa í Brasilíu sem hafa ekki opið 22, 23 eða aðrar hafnir, samkvæmt Censys og Shodan. Svo virðist sem þetta séu tengingar frá notendatölvum.
Bottar? Óþarfi
Gögn
En hér geturðu séð að aðeins fáir vélar sem skanna telnet eru með opið ytra gátt 23. Þetta þýðir að kerfin eru annaðhvort í hættu á annan hátt eða árásarmenn keyra forskriftir handvirkt.
Heimilistengingar
Önnur áhugaverð niðurstaða var mikill fjöldi heimanotenda í úrtakinu. Með því að nota öfugri uppflettingu Ég greindi 105 tengingar frá tilteknum heimilistölvum. Fyrir margar heimatengingar sýnir öfug DNS leit hýsingarheitið með orðunum dsl, home, cable, fiber, og svo framvegis.
Lærðu og skoðaðu: Hækkaðu þinn eigin hunangspott
Ég skrifaði nýlega stutt kennsluefni um hvernig á að gera það
Í stað þess að keyra Cowrie á netinu og ná öllum hávaðanum geturðu notið góðs af honeypot á staðarnetinu þínu. Stilltu stöðugt tilkynningu ef beiðnir eru sendar til ákveðinna hafna. Þetta er annað hvort árásarmaður inni á netinu, eða forvitinn starfsmaður, eða varnarleysisskönnun.
Niðurstöður
Eftir að hafa skoðað aðgerðir árásarmanna yfir sólarhring, verður ljóst að það er ómögulegt að greina skýra uppsprettu árása í hvaða stofnun, landi eða jafnvel stýrikerfi.
Mikil dreifing heimilda sýnir að skannahljóð er stöðugt og tengist ekki tiltekinni uppsprettu. Allir sem vinna á Netinu verða að tryggja að kerfið þeirra nokkur öryggisstig. Algeng og áhrifarík lausn fyrir SSH þjónustan mun flytja í handahófskennda háhöfn. Þetta útilokar ekki þörfina fyrir stranga lykilorðavernd og eftirlit, en tryggir að minnsta kosti að annálarnir stíflist ekki við stöðuga skönnun. Háar hafnartengingar eru líklegri til að vera markvissar árásir, sem gætu verið áhugaverðar fyrir þig.
Oft eru opin telnet tengi á beinum eða öðrum tækjum, svo ekki er auðvelt að færa þau yfir á háan höfn.
Heimild: www.habr.com