Сингапурдағы Digital Ocean түйініне бал құмырасын орнатқаннан кейінгі 24 сағаттағы статистика
Пью Пью! Бірден шабуыл картасынан бастайық
Біздің супер керемет картамыз 24 сағат ішінде Cowrie бал құмырасына қосылған бірегей ASN-лерді көрсетеді. Сары түс SSH қосылымдарына, ал қызыл түс Telnet желісіне сәйкес келеді. Мұндай анимациялар көбінесе компанияның директорлар кеңесін таң қалдырады, бұл қауіпсіздік пен ресурстарды көбірек қаржыландыруға көмектеседі. Дегенмен, картаның 24 сағат ішінде біздің хостымызға шабуыл көздерінің географиялық және ұйымдық таралуын нақты көрсететін белгілі бір құндылығы бар. Анимация әр көзден келетін трафик көлемін көрсетпейді.
Pew Pew картасы дегеніміз не?
Pew Pew картасы Мүмкін , әдетте анимациялық және өте әдемі. Бұл Norse Corp атақты пайдаланатын өніміңізді сатудың тамаша тәсілі. Компания нашар аяқталды: әдемі анимациялар олардың жалғыз артықшылығы болып шықты және олар талдау үшін үзінді деректерді пайдаланды.
Leafletjs көмегімен жасалған
Операциялық орталықта үлкен экранға шабуыл картасын жасағысы келетіндер үшін (бастыққа ұнайды), кітапхана бар. . Біз оны плагинмен біріктіреміз , Maxmind GeoIP қызметі - .
WTF: бұл Коури бал құмырасы дегеніміз не?
Honeypot – шабуылдаушыларды тарту үшін желіге арнайы орналастырылған жүйе. Жүйеге қосылулар әдетте заңсыз болып табылады және егжей-тегжейлі журналдар арқылы шабуылдаушыны анықтауға мүмкіндік береді. Журналдар тек тұрақты қосылым ақпаратын ғана емес, сонымен қатар ашатын сеанс ақпаратын сақтайды әдістер, тактика және процедуралар (TTP) бұзушы.
үшін құрылған SSH және Telnet қосылым жазбалары. Мұндай бал ұялары көбінесе шабуылдаушылар құралдарын, сценарийлерін және хосттарын қадағалау үшін Интернетке қойылады.
Шабуыл жасамайды деп ойлайтын компанияларға менің хабарламам: «Сіз қатты іздейсіз».
- Джеймс Снук
Журналдарда не бар?
Қосылымдардың жалпы саны
Көптеген хосттардан бірнеше рет қосылу әрекеттері болды. Бұл қалыпты жағдай, өйткені шабуыл сценарийлерінде тіркелгі деректерінің толық тізімі бар және бірнеше комбинацияларды қолданып көріңіз. Cowrie Honeypot белгілі бір пайдаланушы аты мен құпия сөз тіркесімін қабылдауға конфигурацияланған. Бұл конфигурацияланған user.db файлы.
Шабуылдардың географиясы
Maxmind геолокация деректерін пайдалана отырып, мен әр елдегі қосылымдардың санын санадым. Бразилия мен Қытай үлкен маржамен көш бастап тұр және осы елдерден келетін сканерлерден жиі шуыл көп болады.
Желі блогының иесі
Желілік блоктардың (ASN) иелерін зерттеу шабуылдаушы хосттардың көп саны бар ұйымдарды анықтауға мүмкіндік береді. Әрине, мұндай жағдайларда көптеген шабуылдар жұқтырған хосттардан келетінін әрқашан есте ұстау керек. Көптеген шабуылдаушылар желіні үйдегі компьютерден сканерлеуге жеткілікті ақымақ емес деп болжау орынды.
Шабуыл жасайтын жүйелердегі порттарды ашу (Shodan.io деректері)
IP тізімін тамаша арқылы іске қосу тез анықтайды ашық порттары бар жүйелер және бұл порттар қандай? Төмендегі суретте ел мен ұйым бойынша ашық порттардың шоғырлануы көрсетілген. Бұзылған жүйелердің блоктарын анықтауға болады, бірақ олардың ішінде шағын үлгі үлкен саннан басқа ештеңе көрінбейді Қытайда 500 ашық порттар.
Қызықты олжа - Бразилиядағы жүйелердің көптігі ашық емес 22, 23 немесе басқа порттар, Censys және Shodan бойынша. Бұл соңғы пайдаланушы компьютерлерінің қосылымдары сияқты.
Боттар ма? Міндетті емес
мәліметтер 22 және 23 порттар үшін олар сол күні біртүрлі нәрсені көрсетті. Мен сканерлеу және құпия сөз шабуылдарының көпшілігі боттардан келеді деп ойладым. Сценарий ашық порттарға таралады, құпия сөздерді болжайды және өзін жаңа жүйеден көшіреді және сол әдіс арқылы таралуды жалғастырады.
Бірақ бұл жерде telnet-ті сканерлейтін хосттардың аз ғана санының 23-порты сыртқа ашық екенін көруге болады.Бұл жүйе басқа жолмен бұзылғанын немесе шабуылдаушылар сценарийлерді қолмен іске қосып жатқанын білдіреді.
Үй байланыстары
Тағы бір қызықты нәтиже үлгідегі үй пайдаланушыларының көптігі болды. Көмегімен кері іздеу Мен арнайы үй компьютерлерінен 105 қосылымды анықтадым. Көптеген үй қосылымдары үшін кері DNS іздеу хост атауын dsl, үй, кабель, талшық және т.б. сөздермен көрсетеді.
Біліңіз және зерттеңіз: өз бал құмыраңызды көтеріңіз
Мен жақында қалай жасау туралы қысқаша оқулық жаздым . Жоғарыда айтылғандай, біздің жағдайда біз Сингапурда Digital Ocean VPS қолдандық. 24 сағаттық талдаудың құны сөзбе-сөз бірнеше цент болды, ал жүйені жинау уақыты 30 минутты құрады.
Интернетте Cowrie-ді іске қосып, барлық шуды ұстаудың орнына, сіз жергілікті желідегі бал құмырасының пайдасын көре аласыз. Сұраулар белгілі бір порттарға жіберілсе, үнемі хабарландыру орнатыңыз. Бұл желідегі шабуылдаушы немесе қызық қызметкер немесе осалдықты сканерлеу.
қорытындылар
Шабуыл жасаушылардың XNUMX сағаттық кезеңдегі әрекеттерін көргеннен кейін кез келген ұйымда, елде немесе тіпті операциялық жүйеде шабуылдардың нақты көзін анықтау мүмкін емес екені белгілі болады.
Дереккөздердің кең таралуы сканерлеу шуының тұрақты және белгілі бір көзбен байланысты емес екенін көрсетеді. Интернетте жұмыс істейтін кез келген адам өз жүйесіне сенімді болуы керек бірнеше қауіпсіздік деңгейлері. үшін ортақ және тиімді шешім SSH қызмет кездейсоқ жоғары портқа ауысады. Бұл қатаң құпия сөзді қорғау және бақылау қажеттілігін жоймайды, бірақ кем дегенде журналдардың тұрақты сканерлеу арқылы бітеліп қалмауын қамтамасыз етеді. Жоғары порт қосылымдары сізді қызықтыруы мүмкін мақсатты шабуылдар болуы ықтимал.
Көбінесе ашық telnet порттары маршрутизаторларда немесе басқа құрылғыларда болады, сондықтан оларды жоғары портқа оңай жылжыту мүмкін емес. и бұл қызметтердің брандмауэрмен жабылғанын немесе өшірілгенін қамтамасыз етудің жалғыз жолы. Мүмкін болса, Telnet қолданбасын мүлде қолданбау керек, бұл протокол шифрланбаған. Егер сізге қажет болса және онсыз жасай алмасаңыз, оны мұқият бақылаңыз және күшті құпия сөздерді пайдаланыңыз.
Ақпарат көзі: www.habr.com