シンガポールの Digital Ocean ノードにハニーポットをインストールした後の 24 時間の統計
ピューピュー! 早速、攻略マップを見ていきましょう
私たちの非常にクールなマップには、24 時間以内にカウリー ハニーポットに接続した固有の ASN が表示されます。 黄色は SSH 接続に対応し、赤色は Telnet に対応します。 このようなアニメーションは会社の取締役会に好印象を与えることが多く、セキュリティとリソースのためのより多くの資金を確保するのに役立ちます。 ただし、このマップにはある程度の価値があり、わずか 24 時間でホスト上での攻撃源の地理的および組織的な広がりを明確に示しています。 アニメーションには、各ソースからのトラフィック量が反映されていません。
ピューピューマップとは何ですか?
ピューピューの地図 - です
Leafletjsで作成しました
オペレーション センターの大画面用に攻撃マップをデザインしたい人 (上司が喜ぶでしょう) には、ライブラリがあります。
いったい、このカウリー ハニーポットとは何でしょうか?
ハニーポットは、特に攻撃者をおびき寄せるためにネットワーク上に配置されるシステムです。 通常、システムへの接続は違法であるため、詳細なログを使用して攻撃者を検出できます。 ログには、通常の接続情報だけでなく、次のようなセッション情報も保存されます。 技術、戦術、手順 (TTP) 侵入者。
自分たちは攻撃されないと考えている企業への私のメッセージは、「よく見ていますね」です。
— ジェームズ・スヌーク
ログには何が書かれているのでしょうか?
合計接続数
多くのホストから接続試行が繰り返されました。 攻撃スクリプトには資格情報の完全なリストがあり、いくつかの組み合わせを試行するため、これは正常です。 Cowrie ハニーポットは、特定のユーザー名とパスワードの組み合わせを受け入れるように構成されています。 これはで構成されます user.db ファイル.
攻撃の地理
Maxmind の地理位置情報データを使用して、各国からの接続数を数えました。 ブラジルと中国が大差でリードしており、これらの国からのスキャナーからは多くのノイズが発生することがよくあります。
ネットワークブロックの所有者
ネットワーク ブロック (ASN) の所有者を調査すると、多数の攻撃ホストを持つ組織を特定できます。 もちろん、そのような場合、多くの攻撃は感染したホストからのものであることを常に覚えておく必要があります。 ほとんどの攻撃者は、自宅のコンピュータからネットワークをスキャンするほど愚かではないと考えるのが妥当です。
攻撃システムでポートを開く (Shodan.io からのデータ)
優れた IP リストを実行する
興味深い発見は、ブラジルには、 22、23は営業していません または 他のポート、CensysとShodanによると。 どうやら、これらはエンドユーザーのコンピュータからの接続であるようです。
ボット? 必要はありません
データ
ただし、ここでは、Telnet をスキャンしている少数のホストだけがポート 23 を外部に開いていることがわかります。これは、システムが何らかの方法で侵害されているか、攻撃者が手動でスクリプトを実行していることを意味します。
ホーム接続
もう XNUMX つの興味深い発見は、サンプルに多数のホーム ユーザーが含まれていることです。 を使用することで 逆引き 特定の家庭用コンピューターからの 105 の接続を特定しました。 多くのホーム接続の場合、DNS 逆引き検索では、dsl、home、cable、fibre などの単語を含むホスト名が表示されます。
学んで探検する: 自分のハニーポットを育てる
最近、その方法についての短いチュートリアルを書きました
インターネット上で Cowrie を実行してすべてのノイズをキャッチする代わりに、ローカル ネットワーク上のハニーポットの恩恵を受けることができます。 リクエストが特定のポートに送信された場合に常に通知を設定します。 これは、ネットワーク内の攻撃者、好奇心旺盛な従業員、または脆弱性スキャンのいずれかです。
所見
XNUMX 時間にわたる攻撃者の行動を観察すると、どのような組織、国、さらにはオペレーティング システムであっても、明確な攻撃元を特定することは不可能であることが明らかになります。
発生源が広範囲に分布していることは、スキャン ノイズが一定であり、特定の発生源に関連していないことを示しています。 インターネットで作業する人は誰でも、自分のシステムが いくつかのセキュリティレベル。 一般的で効果的なソリューションは、 SSH サービスはランダムな上位ポートに移動します。 これにより、厳密なパスワード保護と監視の必要性がなくなるわけではありませんが、少なくとも継続的なスキャンによってログが詰まることはなくなります。 ハイポート接続は標的型攻撃の可能性が高く、興味深いかもしれません。
多くの場合、開いている Telnet ポートはルーターまたはその他のデバイス上にあるため、上位のポートに簡単に移動することはできません。
出所: habr.com