Сингапурдағы Digital Ocean түйініне бал құмырасын орнатқаннан кейінгі 24 сағаттағы статистика
Пью Пью! Бірден шабуыл картасынан бастайық
Біздің супер керемет картамыз 24 сағат ішінде Cowrie бал құмырасына қосылған бірегей ASN-лерді көрсетеді. Сары түс SSH қосылымдарына, ал қызыл түс Telnet желісіне сәйкес келеді. Мұндай анимациялар көбінесе компанияның директорлар кеңесін таң қалдырады, бұл қауіпсіздік пен ресурстарды көбірек қаржыландыруға көмектеседі. Дегенмен, картаның 24 сағат ішінде біздің хостымызға шабуыл көздерінің географиялық және ұйымдық таралуын нақты көрсететін белгілі бір құндылығы бар. Анимация әр көзден келетін трафик көлемін көрсетпейді.
Pew Pew картасы дегеніміз не?
Pew Pew картасы Мүмкін
Leafletjs көмегімен жасалған
Операциялық орталықта үлкен экранға шабуыл картасын жасағысы келетіндер үшін (бастыққа ұнайды), кітапхана бар.
WTF: бұл Коури бал құмырасы дегеніміз не?
Honeypot – шабуылдаушыларды тарту үшін желіге арнайы орналастырылған жүйе. Жүйеге қосылулар әдетте заңсыз болып табылады және егжей-тегжейлі журналдар арқылы шабуылдаушыны анықтауға мүмкіндік береді. Журналдар тек тұрақты қосылым ақпаратын ғана емес, сонымен қатар ашатын сеанс ақпаратын сақтайды әдістер, тактика және процедуралар (TTP) бұзушы.
Шабуыл жасамайды деп ойлайтын компанияларға менің хабарламам: «Сіз қатты іздейсіз».
- Джеймс Снук
Журналдарда не бар?
Қосылымдардың жалпы саны
Көптеген хосттардан бірнеше рет қосылу әрекеттері болды. Бұл қалыпты жағдай, өйткені шабуыл сценарийлерінде тіркелгі деректерінің толық тізімі бар және бірнеше комбинацияларды қолданып көріңіз. Cowrie Honeypot белгілі бір пайдаланушы аты мен құпия сөз тіркесімін қабылдауға конфигурацияланған. Бұл конфигурацияланған user.db файлы.
Шабуылдардың географиясы
Maxmind геолокация деректерін пайдалана отырып, мен әр елдегі қосылымдардың санын санадым. Бразилия мен Қытай үлкен маржамен көш бастап тұр және осы елдерден келетін сканерлерден жиі шуыл көп болады.
Желі блогының иесі
Желілік блоктардың (ASN) иелерін зерттеу шабуылдаушы хосттардың көп саны бар ұйымдарды анықтауға мүмкіндік береді. Әрине, мұндай жағдайларда көптеген шабуылдар жұқтырған хосттардан келетінін әрқашан есте ұстау керек. Көптеген шабуылдаушылар желіні үйдегі компьютерден сканерлеуге жеткілікті ақымақ емес деп болжау орынды.
Шабуыл жасайтын жүйелердегі порттарды ашу (Shodan.io деректері)
IP тізімін тамаша арқылы іске қосу
Қызықты олжа - Бразилиядағы жүйелердің көптігі ашық емес 22, 23 немесе басқа порттар, Censys және Shodan бойынша. Бұл соңғы пайдаланушы компьютерлерінің қосылымдары сияқты.
Боттар ма? Міндетті емес
мәліметтер
Бірақ бұл жерде telnet-ті сканерлейтін хосттардың аз ғана санының 23-порты сыртқа ашық екенін көруге болады.Бұл жүйе басқа жолмен бұзылғанын немесе шабуылдаушылар сценарийлерді қолмен іске қосып жатқанын білдіреді.
Үй байланыстары
Тағы бір қызықты нәтиже үлгідегі үй пайдаланушыларының көптігі болды. Көмегімен кері іздеу Мен арнайы үй компьютерлерінен 105 қосылымды анықтадым. Көптеген үй қосылымдары үшін кері DNS іздеу хост атауын dsl, үй, кабель, талшық және т.б. сөздермен көрсетеді.
Біліңіз және зерттеңіз: өз бал құмыраңызды көтеріңіз
Мен жақында қалай жасау туралы қысқаша оқулық жаздым
Интернетте Cowrie-ді іске қосып, барлық шуды ұстаудың орнына, сіз жергілікті желідегі бал құмырасының пайдасын көре аласыз. Сұраулар белгілі бір порттарға жіберілсе, үнемі хабарландыру орнатыңыз. Бұл желідегі шабуылдаушы немесе қызық қызметкер немесе осалдықты сканерлеу.
қорытындылар
Шабуыл жасаушылардың XNUMX сағаттық кезеңдегі әрекеттерін көргеннен кейін кез келген ұйымда, елде немесе тіпті операциялық жүйеде шабуылдардың нақты көзін анықтау мүмкін емес екені белгілі болады.
Дереккөздердің кең таралуы сканерлеу шуының тұрақты және белгілі бір көзбен байланысты емес екенін көрсетеді. Интернетте жұмыс істейтін кез келген адам өз жүйесіне сенімді болуы керек бірнеше қауіпсіздік деңгейлері. үшін ортақ және тиімді шешім SSH қызмет кездейсоқ жоғары портқа ауысады. Бұл қатаң құпия сөзді қорғау және бақылау қажеттілігін жоймайды, бірақ кем дегенде журналдардың тұрақты сканерлеу арқылы бітеліп қалмауын қамтамасыз етеді. Жоғары порт қосылымдары сізді қызықтыруы мүмкін мақсатты шабуылдар болуы ықтимал.
Көбінесе ашық telnet порттары маршрутизаторларда немесе басқа құрылғыларда болады, сондықтан оларды жоғары портқа оңай жылжыту мүмкін емес.
Ақпарат көзі: www.habr.com