シンガポールの Digital Ocean ノードにハニーポットをインストールした後の 24 時間の統計
ピューピュー! 早速、攻略マップを見ていきましょう
私たちの非常にクールなマップには、24 時間以内にカウリー ハニーポットに接続した固有の ASN が表示されます。 黄色は SSH 接続に対応し、赤色は Telnet に対応します。 このようなアニメーションは会社の取締役会に好印象を与えることが多く、セキュリティとリソースのためのより多くの資金を確保するのに役立ちます。 ただし、このマップにはある程度の価値があり、わずか 24 時間でホスト上での攻撃源の地理的および組織的な広がりを明確に示しています。 アニメーションには、各ソースからのトラフィック量が反映されていません。
ピューピューマップとは何ですか?
ピューピューの地図 - です 、通常はアニメーション化されており、非常に美しいです。 これは製品を販売するための派手な方法であり、悪名高い Norse Corp. によって使用されています。 同社はひどい結末を迎えました。美しいアニメーションだけが同社の利点であり、分析には断片的なデータを使用していたことが判明しました。
Leafletjsで作成しました
オペレーション センターの大画面用に攻撃マップをデザインしたい人 (上司が喜ぶでしょう) には、ライブラリがあります。 。 プラグインと組み合わせてみます 、Maxmind GeoIP サービス - .
いったい、このカウリー ハニーポットとは何でしょうか?
ハニーポットは、特に攻撃者をおびき寄せるためにネットワーク上に配置されるシステムです。 通常、システムへの接続は違法であるため、詳細なログを使用して攻撃者を検出できます。 ログには、通常の接続情報だけでなく、次のようなセッション情報も保存されます。 技術、戦術、手順 (TTP) 侵入者。
のために作成されました SSHおよびTelnet接続記録。 このようなハニーポットは、攻撃者のツール、スクリプト、ホストを追跡するためにインターネット上に置かれることがよくあります。
自分たちは攻撃されないと考えている企業への私のメッセージは、「よく見ていますね」です。
— ジェームズ・スヌーク
ログには何が書かれているのでしょうか?
合計接続数
多くのホストから接続試行が繰り返されました。 攻撃スクリプトには資格情報の完全なリストがあり、いくつかの組み合わせを試行するため、これは正常です。 Cowrie ハニーポットは、特定のユーザー名とパスワードの組み合わせを受け入れるように構成されています。 これはで構成されます user.db ファイル.
攻撃の地理
Maxmind の地理位置情報データを使用して、各国からの接続数を数えました。 ブラジルと中国が大差でリードしており、これらの国からのスキャナーからは多くのノイズが発生することがよくあります。
ネットワークブロックの所有者
ネットワーク ブロック (ASN) の所有者を調査すると、多数の攻撃ホストを持つ組織を特定できます。 もちろん、そのような場合、多くの攻撃は感染したホストからのものであることを常に覚えておく必要があります。 ほとんどの攻撃者は、自宅のコンピュータからネットワークをスキャンするほど愚かではないと考えるのが妥当です。
攻撃システムでポートを開く (Shodan.io からのデータ)
優れた IP リストを実行する すぐに特定する ポートが開いているシステム そしてこれらはどのようなポートなのか。 以下の図は、国別および組織別の開港の集中を示しています。 侵害されたシステムのブロックを特定することは可能ですが、 小さなサンプル 多数を除いて目立ったものは何も見えません 中国で500の開港.
興味深い発見は、ブラジルには、 22、23は営業していません または 他のポート、CensysとShodanによると。 どうやら、これらはエンドユーザーのコンピュータからの接続であるようです。
ボット? 必要はありません
データ その日、ポート 22 と 23 では何か奇妙な現象が見られました。 私は、スキャンやパスワード攻撃のほとんどはボットによるものだと考えていました。 このスクリプトは開いているポートに広がり、パスワードを推測し、新しいシステムから自身をコピーし、同じ方法で広がり続けます。
ただし、ここでは、Telnet をスキャンしている少数のホストだけがポート 23 を外部に開いていることがわかります。これは、システムが何らかの方法で侵害されているか、攻撃者が手動でスクリプトを実行していることを意味します。
ホーム接続
もう XNUMX つの興味深い発見は、サンプルに多数のホーム ユーザーが含まれていることです。 を使用することで 逆引き 特定の家庭用コンピューターからの 105 の接続を特定しました。 多くのホーム接続の場合、DNS 逆引き検索では、dsl、home、cable、fibre などの単語を含むホスト名が表示されます。
学んで探検する: 自分のハニーポットを育てる
最近、その方法についての短いチュートリアルを書きました 。 すでに述べたように、私たちの場合はシンガポールで Digital Ocean VPS を使用しました。 24 時間の分析のコストは文字通り数セントで、システムの組み立て時間は 30 分でした。
インターネット上で Cowrie を実行してすべてのノイズをキャッチする代わりに、ローカル ネットワーク上のハニーポットの恩恵を受けることができます。 リクエストが特定のポートに送信された場合に常に通知を設定します。 これは、ネットワーク内の攻撃者、好奇心旺盛な従業員、または脆弱性スキャンのいずれかです。
所見
XNUMX 時間にわたる攻撃者の行動を観察すると、どのような組織、国、さらにはオペレーティング システムであっても、明確な攻撃元を特定することは不可能であることが明らかになります。
発生源が広範囲に分布していることは、スキャン ノイズが一定であり、特定の発生源に関連していないことを示しています。 インターネットで作業する人は誰でも、自分のシステムが いくつかのセキュリティレベル。 一般的で効果的なソリューションは、 SSH サービスはランダムな上位ポートに移動します。 これにより、厳密なパスワード保護と監視の必要性がなくなるわけではありませんが、少なくとも継続的なスキャンによってログが詰まることはなくなります。 ハイポート接続は標的型攻撃の可能性が高く、興味深いかもしれません。
多くの場合、開いている Telnet ポートはルーターまたはその他のデバイス上にあるため、上位のポートに簡単に移動することはできません。 и これらのサービスがファイアウォールで保護されているか無効になっていることを確認する唯一の方法です。 Telnet は暗号化されていないため、可能であればまったく使用しないでください。 必要でそれなしではいられない場合は、注意深く監視し、強力なパスワードを使用してください。
出所: habr.com