סטטיסטיקה של 24 שעות לאחר התקנת סיר דבש על צומת אוקיינוס ​​דיגיטלי בסינגפור

פיו פיו! בואו נתחיל מיד עם מפת התקיפה

המפה הסופר מגניבה שלנו מציגה את ה-ASNs הייחודיים שהתחברו לסיר הדבש של Cowrie שלנו בתוך 24 שעות. צהוב מתאים לחיבורי SSH, ואדום מתאים ל-Telnet. אנימציות כאלה מרשימות לרוב את מועצת המנהלים של החברה, מה שיכול לסייע בהבטחת מימון נוסף לאבטחה ומשאבים. עם זאת, למפה יש ערך מסוים, שמראה בבירור את ההתפשטות הגיאוגרפית והארגונית של מקורות התקיפה על המארח שלנו תוך 24 שעות בלבד. האנימציה אינה משקפת את כמות התעבורה מכל מקור.

מהי מפת Pew Pew?

מפת פיו פיו - האם הדמיה של התקפות סייבר, בדרך כלל מונפש ומאוד יפה. זוהי דרך מפוארת למכור את המוצר שלך, בשימוש ידוע לשמצה על ידי Norse Corp. החברה נגמרה רע: התברר שהנפשות יפות היו היתרון היחיד שלהן, והן השתמשו בנתונים מקוטעים לניתוח.

עשוי עם Leafletjs

למי שרוצה לעצב מפת תקיפה למסך הגדול במרכז המבצעים (הבוס שלך יאהב את זה), יש ספרייה leafletjs. אנחנו משלבים את זה עם התוסף שכבת נדידת העלונים, שירות Maxmind GeoIP - ומוכן.

WTF: מה זה סיר הדבש הזה של קאורי?

Honeypot היא מערכת המוצבת ברשת במיוחד כדי לפתות תוקפים. חיבורים למערכת הם בדרך כלל לא חוקיים ומאפשרים לך לזהות את התוקף באמצעות יומנים מפורטים. יומנים מאחסנים לא רק מידע חיבור רגיל, אלא גם מידע הפעלה שחושף טכניקות, טקטיקות ונהלים (TTP) פּוֹלֵשׁ.

Honeypot Cowrie נוצר עבור רשומות חיבור SSH ו-Telnet. עציצי דבש כאלה מוצבים לעתים קרובות באינטרנט כדי לעקוב אחר הכלים, התסריטים והמארחים של התוקפים.

המסר שלי לחברות שחושבות שלא יותקפו: "אתם מסתכלים חזק".
- ג'יימס סנוק

מה כתוב ביומנים?

המספר הכולל של חיבורים

היו ניסיונות חיבור חוזרים ונשנים של מארחים רבים. זה נורמלי, מכיוון שלסקריפטים של התקפה יש רשימה מלאה של אישורים ונסה מספר שילובים. ה-Cowrie Honeypot מוגדר לקבל שילובים מסוימים של שם משתמש וסיסמה. זה מוגדר ב קובץ user.db.

גיאוגרפיה של התקפות

באמצעות נתוני מיקום גיאוגרפי של Maxmind ספרתי את מספר החיבורים מכל מדינה. ברזיל וסין מובילות בפער גדול, ולעתים קרובות יש הרבה רעש של סורקים המגיעים ממדינות אלו.

בעל בלוק רשת

מחקר על הבעלים של בלוקי רשת (ASN) יכול לזהות ארגונים עם מספר רב של מארחים תוקפים. כמובן שבמקרים כאלה אתה תמיד צריך לזכור שהתקפות רבות מגיעות ממארחים נגועים. סביר להניח שרוב התוקפים אינם טיפשים מספיק כדי לסרוק את הרשת ממחשב ביתי.

יציאות פתוחות במערכות תוקפות (נתונים מ-Shodan.io)

הפעלת רשימת ה-IP דרך מעולה Shodan API מזהה במהירות מערכות עם יציאות פתוחות ומהן היציאות האלה? האיור שלהלן מציג את ריכוז הנמלים הפתוחים לפי מדינה וארגון. אפשר יהיה לזהות בלוקים של מערכות שנפגעו, אבל בפנים מדגם קטן שום דבר יוצא דופן לא נראה לעין, פרט למספר גדול 500 נמלים פתוחים בסין.

ממצא מעניין הוא המספר הגדול של מערכות בברזיל שיש לא פתוח 22, 23 או יציאות אחרות, לפי Censys ושודאן. ככל הנראה מדובר בחיבורים ממחשבי משתמשי קצה.

בוטים? לא נחוץ

נתונים Censys עבור יציאות 22 ו-23 הם הראו משהו מוזר באותו יום. הנחתי שרוב הסריקות והתקפות הסיסמאות מגיעות מבוטים. הסקריפט מתפשט על פני פורטים פתוחים, ניחוש סיסמאות, ומעתיק את עצמו מהמערכת החדשה וממשיך להתפשט באותה שיטה.

אבל כאן אתה יכול לראות שרק למספר קטן של מארחים הסורקים Telnet יש יציאה 23 פתוחה כלפי חוץ. זה אומר שהמערכות נפגעות בדרך אחרת, או שתוקפים מריצים סקריפטים באופן ידני.

חיבורים לבית

ממצא מעניין נוסף היה המספר הגדול של משתמשים ביתיים במדגם. על ידי שימוש ב חיפוש הפוך זיהיתי 105 חיבורים ממחשבים ביתיים ספציפיים. עבור חיבורים ביתיים רבים, חיפוש DNS הפוך מציג את שם המארח עם המילים dsl, home, cable, fiber וכן הלאה.

למד ולחקור: הגדל את סיר הדבש שלך

לאחרונה כתבתי הדרכה קצרה כיצד לעשות זאת התקן את Cowrie honeypot במערכת שלך. כפי שכבר ציינו, במקרה שלנו השתמשנו ב-Digital Ocean VPS בסינגפור. עבור 24 שעות של ניתוח, העלות הייתה ממש כמה סנטים, והזמן להרכיב את המערכת היה 30 דקות.

במקום להפעיל את Cowrie באינטרנט ולתפוס את כל הרעש, אתה יכול להפיק תועלת מ-honeypot ברשת המקומית שלך. הגדר כל הזמן התראה אם ​​בקשות נשלחות ליציאות מסוימות. זה או תוקף בתוך הרשת, או עובד סקרן, או סריקת פגיעות.

ממצאים

לאחר צפייה בפעולות התוקפים במשך XNUMX שעות, מתברר שאי אפשר לזהות מקור ברור להתקפות בכל ארגון, מדינה או אפילו מערכת הפעלה.

ההתפלגות הרחבה של המקורות מראה שרעש הסריקה קבוע ואינו קשור למקור ספציפי. כל מי שעובד באינטרנט חייב לוודא שהמערכת שלו מספר רמות אבטחה. פתרון נפוץ ויעיל עבור SSH השירות יעבור לנמל גבוה אקראי. זה לא מבטל את הצורך בהגנת סיסמאות קפדנית ובניטור, אבל לפחות מבטיח שהלוגים לא ייסתמו על ידי סריקה מתמדת. חיבורי יציאות גבוהים נוטים יותר להיות התקפות ממוקדות, מה שעשוי לעניין אותך.

לעתים קרובות יציאות Telnet פתוחות נמצאות בנתבים או בהתקנים אחרים, כך שלא ניתן להעביר אותן בקלות ליציאה גבוהה. מידע על כל היציאות הפתוחות и משטח התקפה היא הדרך היחידה להבטיח שהשירותים האלה יהיו חומת אש או מושבתת. במידת האפשר, אין להשתמש ב-Telnet כלל; פרוטוקול זה אינו מוצפן. אם אתה צריך את זה ולא יכול בלעדיו, עקוב אחר זה בזהירות והשתמש בסיסמאות חזקות.

מקור: www.habr.com