Statistik kanggo 24 jam sawise nginstal honeypot ing simpul Samudra Digital ing Singapura
Pew Pew! Ayo miwiti langsung karo peta serangan
Peta super keren kita nuduhake ASN unik sing nyambung menyang honeypot Cowrie ing 24 jam. Kuning cocog karo sambungan SSH, lan abang cocog karo Telnet. Animasi kasebut asring ngematake dewan direksi perusahaan, sing bisa mbantu ngamanake dana luwih akeh kanggo keamanan lan sumber daya. Nanging, peta kasebut duwe sawetara nilai, kanthi jelas nuduhake panyebaran geografis lan organisasi sumber serangan ing host kita mung 24 jam. Animasi ora nggambarake jumlah lalu lintas saka saben sumber.
Apa iku peta Pew Pew?
Peta Pew Pew Punika , biasane animasi lan apik banget. Iki minangka cara sing apik kanggo adol produk sampeyan, sing digunakake dening Norse Corp. Perusahaan rampung banget: ternyata animasi sing apik mung dadi keuntungan, lan nggunakake data fragmen kanggo analisis.
Digawe karo Leafletjs
Kanggo sing pengin ngrancang peta serangan kanggo layar gedhe ing pusat operasi (bos sampeyan bakal seneng), ana perpustakaan. . Kita gabungke karo plugin , layanan Maxmind GeoIP - .
WTF: apa iki honeypot Cowrie?
Honeypot minangka sistem sing dipasang ing jaringan khusus kanggo nggodho penyerang. Sambungan menyang sistem biasane ilegal lan ngidini sampeyan ndeteksi panyerang nggunakake log rinci. Log nyimpen ora mung informasi sambungan biasa, nanging uga informasi sesi sing mbukak teknik, taktik, dan prosedur (TTP) penyusup.
digawe kanggo cathetan sambungan SSH lan Telnet. Honeypot kuwi asring dilebokake ing Internet kanggo nglacak alat, skrip lan host penyerang.
Pesenku marang perusahaan sing mikir ora bakal diserang: "Sampeyan lagi nggoleki."
β James Snook
Apa sing ana ing log?
Jumlah total sambungan
Ana nyoba sambungan bola-bali saka akeh host. Iki normal, amarga skrip serangan duwe daftar lengkap kredensial lan nyoba sawetara kombinasi. Cowrie Honeypot dikonfigurasi kanggo nampa kombinasi jeneng pangguna lan sandhi tartamtu. Iki diatur ing file user.db.
Geografi saka serangan
Nggunakake data geolokasi Maxmind, aku ngitung jumlah sambungan saka saben negara. Brasil lan China mimpin kanthi wates sing amba, lan asring ana swara saka scanner sing teka saka negara kasebut.
Pemilik blok jaringan
Nliti pamilik pamblokiran jaringan (ASN) bisa ngenali organisasi kanthi akeh host sing nyerang. Mesthine, ing kasus kaya mengkono, sampeyan kudu tansah elinga yen akeh serangan teka saka host sing kena infeksi. Iku cukup kanggo nganggep sing paling panyerang ora cukup bodho kanggo mindai Jaringan saka komputer ngarep.
Bukak port ing sistem sing nyerang (data saka Shodan.io)
Mbukak dhaftar IP liwat banget cepet ngenali sistem karo port mbukak lan apa jenis port iki. Tokoh ing ngisor iki nuduhake konsentrasi port mbukak miturut negara lan organisasi. Iku bakal bisa kanggo ngenali pamblokiran saka sistem kompromi, nanging ing sampel cilik ora katon pinunjul, kajaba nomer akeh 500 port mbukak ing China.
Temokake sing menarik yaiku akeh sistem ing Brasil sing duwe ora mbukak 22, 23 utawa bandar liyane, miturut Censys lan Shodan. Ketoke iki sambungan saka komputer pangguna pungkasan.
Bot? Ora perlu
data kanggo bandar 22 lan 23 padha nuduhake soko aneh dina. Aku nganggep sing paling scan lan serangan sandi teka saka bot. Skrip kasebut nyebar liwat port sing mbukak, ngira sandhi, lan nyalin dhewe saka sistem anyar lan terus nyebar kanthi nggunakake cara sing padha.
Nanging ing kene sampeyan bisa ndeleng manawa mung sawetara host sing mindhai telnet sing mbukak port 23 menyang njaba, tegese sistem kasebut dikompromi kanthi cara liya, utawa panyerang mbukak skrip kanthi manual.
Sambungan omah
Temuan liyane sing menarik yaiku akeh pangguna omah ing sampel kasebut. Kanthi nggunakake reverse lookup Aku ngenali 105 sambungan saka komputer ngarep tartamtu. Kanggo akeh sambungan omah, goleki DNS mbalikke nampilake jeneng host kanthi tembung dsl, omah, kabel, serat, lan liya-liyane.
Sinau lan Jelajahi: Angkat Honeypot Panjenengan
Aku bubar nulis tutorial singkat babagan carane . Kaya sing wis kasebut, ing kasus kita nggunakake Digital Ocean VPS ing Singapura. Kanggo analisis 24 jam, biaya kasebut mung sawetara sen, lan wektu kanggo ngumpulake sistem kasebut yaiku 30 menit.
Tinimbang mbukak Cowrie ing Internet lan nyekel kabeh gangguan, sampeyan bisa entuk manfaat saka honeypot ing jaringan lokal. Setel kabar kanthi tetep yen panjalukan dikirim menyang port tartamtu. Iki minangka penyerang ing jaringan, utawa karyawan sing penasaran, utawa pindai kerentanan.
temonan
Sawise ndeleng tumindak para panyerang sajrone wektu XNUMX jam, dadi jelas manawa ora bisa ngenali sumber serangan sing jelas ing organisasi, negara, utawa sistem operasi apa wae.
Distribusi sumber sing akeh nuduhake manawa gangguan scan tetep lan ora ana gandhengane karo sumber tartamtu. Sapa wae sing kerja ing Internet kudu mesthekake yen sistem kasebut sawetara tingkat keamanan. Solusi umum lan efektif kanggo SSH layanan bakal pindhah menyang port dhuwur acak. Iki ora ngilangi kabutuhan proteksi lan ngawasi sandhi sing ketat, nanging paling ora mesthekake yen log ora diblokir kanthi mindhai terus-terusan. Sambungan port dhuwur luwih cenderung dadi serangan sing ditargetake, sing bisa dadi kapentingan kanggo sampeyan.
Asring mbukak port telnet ing router utawa piranti liyane, supaya padha ora bisa gampang dipindhah menyang port dhuwur. ΠΈ iku siji-sijine cara kanggo mesthekake yen layanan iki firewall utawa dipateni. Yen bisa, sampeyan ora kudu nggunakake Telnet kabeh; protokol iki ora dienkripsi. Yen sampeyan butuh lan ora bisa nindakake tanpa, banjur ngawasi kanthi ati-ati lan gunakake sandhi sing kuwat.
Source: www.habr.com