Statistiche per 24 ore dopo l'installazione di un honeypot su un nodo Digital Ocean a Singapore
Pew Pew! Cominciamo subito con la mappa di attacco
La nostra fantastica mappa mostra gli ASN unici che si sono collegati al nostro honeypot Cowrie entro 24 ore. Il giallo corrisponde alle connessioni SSH e il rosso corrisponde a Telnet. Tali animazioni spesso impressionano il consiglio di amministrazione dell'azienda, il che può aiutare a garantire maggiori finanziamenti per la sicurezza e le risorse. Tuttavia, la mappa ha un certo valore, poiché mostra chiaramente la diffusione geografica e organizzativa delle fonti di attacco sul nostro host in sole 24 ore. L'animazione non riflette la quantità di traffico proveniente da ciascuna sorgente.
Cos'è una mappa Pew Pew?
Mappa Pew Pew - E ' , solitamente animato e molto bello. È un modo elegante per vendere il tuo prodotto, tristemente utilizzato dalla Norse Corp. L'azienda finì male: si scoprì che il loro unico vantaggio erano belle animazioni e utilizzarono dati frammentari per l'analisi.
Realizzato con Leafletjs
Per coloro che vogliono progettare una mappa di attacco per il grande schermo del centro operativo (il tuo capo lo adorerà), c'è una biblioteca . Lo combiniamo con il plugin , Servizio Maxmind GeoIP - .
WTF: cos'è questo honeypot Cowrie?
Honeypot è un sistema che viene inserito nella rete appositamente per attirare gli aggressori. Le connessioni al sistema sono generalmente illegali e consentono di rilevare l'aggressore utilizzando registri dettagliati. I registri memorizzano non solo le informazioni di connessione regolari, ma anche le informazioni sulla sessione che rivelano tecniche, tattiche e procedure (TTP) intruso.
creato per Record di connessione SSH e Telnet. Tali honeypot vengono spesso immessi in Internet per tenere traccia degli strumenti, degli script e degli host degli aggressori.
Il mio messaggio alle aziende che pensano che non saranno attaccate: "State cercando duro".
—James Snook
Cosa c'è nei registri?
Numero totale di connessioni
Ci sono stati ripetuti tentativi di connessione da parte di molti host. Questo è normale, poiché gli script di attacco dispongono di un elenco completo di credenziali e provano diverse combinazioni. Cowrie Honeypot è configurato per accettare determinate combinazioni di nome utente e password. Questo è configurato in file utente.db.
Geografia degli attacchi
Utilizzando i dati di geolocalizzazione di Maxmind, ho contato il numero di connessioni da ciascun paese. Brasile e Cina guidano con un ampio margine e spesso c’è molto rumore proveniente dagli scanner provenienti da questi paesi.
Proprietario del blocco di rete
La ricerca sui proprietari dei blocchi di rete (ASN) può identificare le organizzazioni con un gran numero di host attaccanti. Naturalmente in questi casi bisogna sempre ricordare che molti attacchi provengono da host infetti. È ragionevole supporre che la maggior parte degli aggressori non sia così stupida da scansionare la rete da un computer di casa.
Porte aperte sui sistemi attaccanti (dati da Shodan.io)
Esecuzione dell'elenco IP in modo eccellente identifica rapidamente sistemi con porte aperte e quali sono questi porti? La figura seguente mostra la concentrazione dei porti aperti per paese e organizzazione. Sarebbe possibile individuare blocchi di sistemi compromessi, ma all'interno piccolo campione non è visibile nulla di eccezionale, tranne un gran numero 500 porti aperti in Cina.
Una scoperta interessante è il gran numero di sistemi in Brasile che dispongono di non aperto 22, 23 o altri porti, secondo Censys e Shodan. Apparentemente si tratta di connessioni dai computer degli utenti finali.
Bot? Non necessario
Dati per le porte 22 e 23 quel giorno si verificò qualcosa di strano. Supponevo che la maggior parte delle scansioni e degli attacchi alle password provenissero dai bot. Lo script si diffonde sulle porte aperte, indovina le password, si copia dal nuovo sistema e continua a diffondersi utilizzando lo stesso metodo.
Ma qui potete vedere che solo un piccolo numero di host che scansionano telnet hanno la porta 23 aperta verso l'esterno, il che significa che i sistemi sono compromessi in qualche altro modo oppure gli aggressori eseguono script manualmente.
Connessioni domestiche
Un altro risultato interessante è stato il gran numero di utenti domestici nel campione. Usando ricerca inversa Ho identificato 105 connessioni da specifici computer domestici. Per molte connessioni domestiche, una ricerca DNS inversa visualizza il nome host con le parole dsl, casa, cavo, fibra e così via.
Impara ed esplora: crea il tuo Honeypot
Recentemente ho scritto un breve tutorial su come farlo . Come già accennato, nel nostro caso abbiamo utilizzato Digital Ocean VPS a Singapore. Per 24 ore di analisi il costo è stato letteralmente di pochi centesimi e il tempo per assemblare il sistema è stato di 30 minuti.
Invece di eseguire Cowrie su Internet e catturare tutto il rumore, puoi trarre vantaggio da Honeypot sulla tua rete locale. Imposta costantemente una notifica se le richieste vengono inviate a determinate porte. Può trattarsi di un utente malintenzionato all'interno della rete, di un dipendente curioso o di una scansione di vulnerabilità.
risultati
Dopo aver osservato le azioni degli aggressori nell'arco di XNUMX ore, diventa chiaro che è impossibile identificare una fonte chiara di attacchi in qualsiasi organizzazione, paese o sistema operativo.
L'ampia distribuzione delle sorgenti mostra che il rumore di scansione è costante e non associato ad una sorgente specifica. Chiunque lavori su Internet deve assicurarsi che il proprio sistema diversi livelli di sicurezza. Una soluzione comune ed efficace per SSH il servizio si sposterà su una porta alta casuale. Ciò non elimina la necessità di una rigorosa protezione e monitoraggio tramite password, ma almeno garantisce che i registri non vengano intasati da scansioni costanti. È più probabile che le connessioni con porte elevate siano attacchi mirati, il che potrebbe interessarti.
Spesso le porte telnet aperte si trovano su router o altri dispositivi, quindi non possono essere facilmente spostate su una porta alta. и è l'unico modo per garantire che questi servizi siano protetti da firewall o disabilitati. Se possibile, non dovresti utilizzare affatto Telnet; questo protocollo non è crittografato. Se ne hai bisogno e non puoi farne a meno, monitoralo attentamente e utilizza password complesse.
Fonte: habr.com
