Statistik kanggo 24 jam sawise nginstal honeypot ing simpul Samudra Digital ing Singapura
Pew Pew! Ayo miwiti langsung karo peta serangan
Peta super keren kita nuduhake ASN unik sing nyambung menyang honeypot Cowrie ing 24 jam. Kuning cocog karo sambungan SSH, lan abang cocog karo Telnet. Animasi kasebut asring ngematake dewan direksi perusahaan, sing bisa mbantu ngamanake dana luwih akeh kanggo keamanan lan sumber daya. Nanging, peta kasebut duwe sawetara nilai, kanthi jelas nuduhake panyebaran geografis lan organisasi sumber serangan ing host kita mung 24 jam. Animasi ora nggambarake jumlah lalu lintas saka saben sumber.
Apa iku peta Pew Pew?
Peta Pew Pew Punika
Digawe karo Leafletjs
Kanggo sing pengin ngrancang peta serangan kanggo layar gedhe ing pusat operasi (bos sampeyan bakal seneng), ana perpustakaan.
WTF: apa iki honeypot Cowrie?
Honeypot minangka sistem sing dipasang ing jaringan khusus kanggo nggodho penyerang. Sambungan menyang sistem biasane ilegal lan ngidini sampeyan ndeteksi panyerang nggunakake log rinci. Log nyimpen ora mung informasi sambungan biasa, nanging uga informasi sesi sing mbukak teknik, taktik, dan prosedur (TTP) penyusup.
Pesenku marang perusahaan sing mikir ora bakal diserang: "Sampeyan lagi nggoleki."
β James Snook
Apa sing ana ing log?
Jumlah total sambungan
Ana nyoba sambungan bola-bali saka akeh host. Iki normal, amarga skrip serangan duwe daftar lengkap kredensial lan nyoba sawetara kombinasi. Cowrie Honeypot dikonfigurasi kanggo nampa kombinasi jeneng pangguna lan sandhi tartamtu. Iki diatur ing file user.db.
Geografi saka serangan
Nggunakake data geolokasi Maxmind, aku ngitung jumlah sambungan saka saben negara. Brasil lan China mimpin kanthi wates sing amba, lan asring ana swara saka scanner sing teka saka negara kasebut.
Pemilik blok jaringan
Nliti pamilik pamblokiran jaringan (ASN) bisa ngenali organisasi kanthi akeh host sing nyerang. Mesthine, ing kasus kaya mengkono, sampeyan kudu tansah elinga yen akeh serangan teka saka host sing kena infeksi. Iku cukup kanggo nganggep sing paling panyerang ora cukup bodho kanggo mindai Jaringan saka komputer ngarep.
Bukak port ing sistem sing nyerang (data saka Shodan.io)
Mbukak dhaftar IP liwat banget
Temokake sing menarik yaiku akeh sistem ing Brasil sing duwe ora mbukak 22, 23 utawa bandar liyane, miturut Censys lan Shodan. Ketoke iki sambungan saka komputer pangguna pungkasan.
Bot? Ora perlu
data
Nanging ing kene sampeyan bisa ndeleng manawa mung sawetara host sing mindhai telnet sing mbukak port 23 menyang njaba, tegese sistem kasebut dikompromi kanthi cara liya, utawa panyerang mbukak skrip kanthi manual.
Sambungan omah
Temuan liyane sing menarik yaiku akeh pangguna omah ing sampel kasebut. Kanthi nggunakake reverse lookup Aku ngenali 105 sambungan saka komputer ngarep tartamtu. Kanggo akeh sambungan omah, goleki DNS mbalikke nampilake jeneng host kanthi tembung dsl, omah, kabel, serat, lan liya-liyane.
Sinau lan Jelajahi: Angkat Honeypot Panjenengan
Aku bubar nulis tutorial singkat babagan carane
Tinimbang mbukak Cowrie ing Internet lan nyekel kabeh gangguan, sampeyan bisa entuk manfaat saka honeypot ing jaringan lokal. Setel kabar kanthi tetep yen panjalukan dikirim menyang port tartamtu. Iki minangka penyerang ing jaringan, utawa karyawan sing penasaran, utawa pindai kerentanan.
temonan
Sawise ndeleng tumindak para panyerang sajrone wektu XNUMX jam, dadi jelas manawa ora bisa ngenali sumber serangan sing jelas ing organisasi, negara, utawa sistem operasi apa wae.
Distribusi sumber sing akeh nuduhake manawa gangguan scan tetep lan ora ana gandhengane karo sumber tartamtu. Sapa wae sing kerja ing Internet kudu mesthekake yen sistem kasebut sawetara tingkat keamanan. Solusi umum lan efektif kanggo SSH layanan bakal pindhah menyang port dhuwur acak. Iki ora ngilangi kabutuhan proteksi lan ngawasi sandhi sing ketat, nanging paling ora mesthekake yen log ora diblokir kanthi mindhai terus-terusan. Sambungan port dhuwur luwih cenderung dadi serangan sing ditargetake, sing bisa dadi kapentingan kanggo sampeyan.
Asring mbukak port telnet ing router utawa piranti liyane, supaya padha ora bisa gampang dipindhah menyang port dhuwur.
Source: www.habr.com