סטטיסטיקה של 24 שעות לאחר התקנת סיר דבש על צומת אוקיינוס דיגיטלי בסינגפור
פיו פיו! בואו נתחיל מיד עם מפת התקיפה
המפה הסופר מגניבה שלנו מציגה את ה-ASNs הייחודיים שהתחברו לסיר הדבש של Cowrie שלנו בתוך 24 שעות. צהוב מתאים לחיבורי SSH, ואדום מתאים ל-Telnet. אנימציות כאלה מרשימות לרוב את מועצת המנהלים של החברה, מה שיכול לסייע בהבטחת מימון נוסף לאבטחה ומשאבים. עם זאת, למפה יש ערך מסוים, שמראה בבירור את ההתפשטות הגיאוגרפית והארגונית של מקורות התקיפה על המארח שלנו תוך 24 שעות בלבד. האנימציה אינה משקפת את כמות התעבורה מכל מקור.
מהי מפת Pew Pew?
מפת פיו פיו - האם
עשוי עם Leafletjs
למי שרוצה לעצב מפת תקיפה למסך הגדול במרכז המבצעים (הבוס שלך יאהב את זה), יש ספרייה
WTF: מה זה סיר הדבש הזה של קאורי?
Honeypot היא מערכת המוצבת ברשת במיוחד כדי לפתות תוקפים. חיבורים למערכת הם בדרך כלל לא חוקיים ומאפשרים לך לזהות את התוקף באמצעות יומנים מפורטים. יומנים מאחסנים לא רק מידע חיבור רגיל, אלא גם מידע הפעלה שחושף טכניקות, טקטיקות ונהלים (TTP) פּוֹלֵשׁ.
המסר שלי לחברות שחושבות שלא יותקפו: "אתם מסתכלים חזק".
- ג'יימס סנוק
מה כתוב ביומנים?
המספר הכולל של חיבורים
היו ניסיונות חיבור חוזרים ונשנים של מארחים רבים. זה נורמלי, מכיוון שלסקריפטים של התקפה יש רשימה מלאה של אישורים ונסה מספר שילובים. ה-Cowrie Honeypot מוגדר לקבל שילובים מסוימים של שם משתמש וסיסמה. זה מוגדר ב קובץ user.db.
גיאוגרפיה של התקפות
באמצעות נתוני מיקום גיאוגרפי של Maxmind ספרתי את מספר החיבורים מכל מדינה. ברזיל וסין מובילות בפער גדול, ולעתים קרובות יש הרבה רעש של סורקים המגיעים ממדינות אלו.
בעל בלוק רשת
מחקר על הבעלים של בלוקי רשת (ASN) יכול לזהות ארגונים עם מספר רב של מארחים תוקפים. כמובן שבמקרים כאלה אתה תמיד צריך לזכור שהתקפות רבות מגיעות ממארחים נגועים. סביר להניח שרוב התוקפים אינם טיפשים מספיק כדי לסרוק את הרשת ממחשב ביתי.
יציאות פתוחות במערכות תוקפות (נתונים מ-Shodan.io)
הפעלת רשימת ה-IP דרך מעולה
ממצא מעניין הוא המספר הגדול של מערכות בברזיל שיש לא פתוח 22, 23 או יציאות אחרות, לפי Censys ושודאן. ככל הנראה מדובר בחיבורים ממחשבי משתמשי קצה.
בוטים? לא נחוץ
נתונים
אבל כאן אתה יכול לראות שרק למספר קטן של מארחים הסורקים Telnet יש יציאה 23 פתוחה כלפי חוץ. זה אומר שהמערכות נפגעות בדרך אחרת, או שתוקפים מריצים סקריפטים באופן ידני.
חיבורים לבית
ממצא מעניין נוסף היה המספר הגדול של משתמשים ביתיים במדגם. על ידי שימוש ב חיפוש הפוך זיהיתי 105 חיבורים ממחשבים ביתיים ספציפיים. עבור חיבורים ביתיים רבים, חיפוש DNS הפוך מציג את שם המארח עם המילים dsl, home, cable, fiber וכן הלאה.
למד ולחקור: הגדל את סיר הדבש שלך
לאחרונה כתבתי הדרכה קצרה כיצד לעשות זאת
במקום להפעיל את Cowrie באינטרנט ולתפוס את כל הרעש, אתה יכול להפיק תועלת מ-honeypot ברשת המקומית שלך. הגדר כל הזמן התראה אם בקשות נשלחות ליציאות מסוימות. זה או תוקף בתוך הרשת, או עובד סקרן, או סריקת פגיעות.
ממצאים
לאחר צפייה בפעולות התוקפים במשך XNUMX שעות, מתברר שאי אפשר לזהות מקור ברור להתקפות בכל ארגון, מדינה או אפילו מערכת הפעלה.
ההתפלגות הרחבה של המקורות מראה שרעש הסריקה קבוע ואינו קשור למקור ספציפי. כל מי שעובד באינטרנט חייב לוודא שהמערכת שלו מספר רמות אבטחה. פתרון נפוץ ויעיל עבור SSH השירות יעבור לנמל גבוה אקראי. זה לא מבטל את הצורך בהגנת סיסמאות קפדנית ובניטור, אבל לפחות מבטיח שהלוגים לא ייסתמו על ידי סריקה מתמדת. חיבורי יציאות גבוהים נוטים יותר להיות התקפות ממוקדות, מה שעשוי לעניין אותך.
לעתים קרובות יציאות Telnet פתוחות נמצאות בנתבים או בהתקנים אחרים, כך שלא ניתן להעביר אותן בקלות ליציאה גבוהה.
מקור: www.habr.com