Statistike fir 24 Stonnen no der Installatioun vun engem Honeypot op engem Digital Ocean Node zu Singapur
Pech Pech! Loosst eis direkt mat der Attack Kaart ufänken
Eis super cool Kaart weist déi eenzegaarteg ASNs déi mat eisem Cowrie Hunnegpot bannent 24 Stonnen verbonne sinn. Giel entsprécht SSH Verbindungen, a rout entsprécht Telnet. Esou Animatiounen beandrocken dacks de Verwaltungsrot vun der Firma, wat hëllefe kann méi Finanzéierung fir Sécherheet a Ressourcen sécheren. Wéi och ëmmer, d'Kaart huet e Wäert, wat d'geographesch an organisatoresch Verbreedung vun Attackquellen op eisem Host an nëmmen 24 Stonnen kloer weist. D'Animatioun reflektéiert net de Betrag vum Traffic vun all Quell.
Wat ass eng Pew Pew Kaart?
Pew Pew Kaart Ass , normalerweis animéiert a ganz schéin. Et ass e flotte Wee fir Äert Produkt ze verkafen, berühmt vun Norse Corp. D'Firma huet schlecht opgehalen: et huet sech erausgestallt datt schéin Animatiounen hiren eenzege Virdeel waren, a si hunn fragmentaresch Daten fir d'Analyse benotzt.
Gemaach mat Leafletjs
Fir déi, déi eng Attack Kaart fir de groussen Ecran am Operatiounszenter wëllen designen (Äre Chef wäert et gär hunn), gëtt et eng Bibliothéik . Mir kombinéieren et mam Plugin , Maxmind GeoIP Service - .
WTF: Wat ass dëse Cowrie Hunnegpot?
Honeypot ass e System deen am Netz gesat gëtt speziell fir Ugräifer ze lackelen. Verbindunge mam System sinn normalerweis illegal an erlaben Iech den Ugräifer mat detailléierte Logbicher z'entdecken. Logbicher späicheren net nëmme regelméisseg Verbindungsinformatioun, awer och Sessiounsinformatioun déi verroden Techniken, Taktiken a Prozeduren (TTP) Andréngen.
erstallt fir SSH an Telnet Verbindung records. Esou Honeypots ginn dacks um Internet gesat fir d'Tools, Scripten an Hosten vun Ugräifer ze verfolgen.
Mäi Message un d'Firmen déi mengen datt se net attackéiert ginn: "Dir sicht schwéier."
- James Snook
Wat ass an de Logbicher?
Total Zuel vun Verbindungen
Et goufen widderholl Verbindungsversich vu ville Hosten. Dëst ass normal, well Attack Scripten hunn eng voll Lëscht vun Umeldungsinformatiounen a probéieren verschidde Kombinatioune. De Cowrie Honeypot ass konfiguréiert fir verschidde Benotzernumm a Passwuert Kombinatiounen ze akzeptéieren. Dëst ass konfiguréiert an user.db Datei.
Geographie vun Attacken
Mat Maxmind Geolocatiounsdaten hunn ech d'Zuel vun de Verbindungen aus all Land gezielt. Brasilien a China féieren mat engem grousse Spillraum, an et gëtt dacks vill Kaméidi vu Scanner, déi aus dëse Länner kommen.
Reseau Block Besëtzer
D'Recherche vun de Besëtzer vun Netzwierkblocken (ASN) kann Organisatiounen mat enger grousser Zuel vun attackéierende Hosten identifizéieren. Natierlech sollt Dir an esou Fäll ëmmer drun erënneren datt vill Attacke vu infizéierte Hosten kommen. Et ass raisonnabel unzehuelen datt déi meescht Ugräifer net domm genuch sinn fir de Netzwierk vun engem Heemcomputer ze scannen.
Open Ports op Attacke Systemer (Date vu Shodan.io)
Lafen der IP Lëscht duerch excellent séier identifizéieren Systemer mat oppenen Häfen a wat Zort Häfen dës sinn. D'Figur hei drënner weist d'Konzentratioun vun oppenen Häfen no Land an Organisatioun. Et wier méiglech Blocks vu kompromittéierte Systemer z'identifizéieren, awer bannent kleng Prouf näischt aussergewéinleches ass ze gesinn, ausser eng grouss Zuel 500 oppen Häfen a China.
Eng interessant Fonnt ass déi grouss Zuel vu Systemer a Brasilien déi hunn net op 22, 23 oder aner Häfen, laut Censys a Shodan. Anscheinend sinn dës Verbindunge vun Endbenotzer Computeren.
Bots? Net néideg
Donnéeën fir Häfen 22 an 23 si eppes komesch gewisen, wie Dag. Ech hunn ugeholl datt déi meescht Scans a Passwuert Attacke vu Bots kommen. De Skript verbreet sech iwwer oppe Ports, roden Passwierder, a kopéiert sech vum neie System a verbreet weider mat der selwechter Method.
Awer hei kënnt Dir gesinn datt nëmmen eng kleng Unzuel vun Hosten, déi Telnet scannen, den Hafen no baussen op hunn 23. Dat heescht datt d'Systemer entweder op eng aner Manéier kompromittéiert sinn, oder d'Ugräifer Scripte manuell lafen.
Home Verbindungen
Eng aner interessant Entdeckung war déi grouss Zuel vun Heembenotzer an der Probe. Duerch d'Benotzung ëmgedréint Lookup Ech identifizéiert 105 Verbindungen aus spezifesch doheem Computeren. Fir vill Heemverbindungen weist e Reverse DNS Lookup den Hostnumm mat de Wierder dsl, Heem, Kabel, Glasfaser, asw.
Léieren an Entdeckung: Erhéije Ären eegene Honeypot
Ech hunn viru kuerzem e kuerzen Tutorial geschriwwen wéi een . Wéi scho gesot, an eisem Fall hu mir Digital Ocean VPS zu Singapur benotzt. Fir 24 Stonnen Analyse waren d'Käschte wuertwiertlech e puer Cent, an d'Zäit fir de System ze montéieren war 30 Minutten.
Amplaz Cowrie um Internet ze lafen an all de Kaméidi ze fänken, kënnt Dir vun Honeypot op Ärem lokalen Netzwierk profitéieren. Konstant eng Notifikatioun setzen wann Ufroe a bestëmmte Ports geschéckt ginn. Dëst ass entweder en Ugräifer am Netz, oder e virwëtzeg Mataarbechter, oder e Schwachstelle Scan.
Conclusiounen
Nodeems Dir d'Aktiounen vun den Ugräifer iwwer eng XNUMX-Stonne Period gekuckt hutt, gëtt et kloer datt et onméiglech ass eng kloer Quell vun Attacken an all Organisatioun, Land oder souguer Betribssystem z'identifizéieren.
Déi breet Verdeelung vu Quelle weist datt de Scangeräischer konstant ass an net mat enger spezifescher Quell assoziéiert. Jiddereen, deen um Internet schafft, muss dofir suergen, datt hire System verschidde Sécherheetsniveauen. Eng gemeinsam an efficace Léisung fir SSH de Service wäert zu engem zoufälleg héich port plënneren. Dëst eliminéiert net de Besoin fir strikt Passwuertschutz an Iwwerwaachung, awer op d'mannst garantéiert datt d'Logbicher net duerch konstante Scannen verstoppt sinn. Héich Portverbindunge si méi wahrscheinlech geziilt Attacken, déi Iech interesséieren.
Dacks sinn oppen Telnet Ports op Router oder aner Apparater, sou datt se net einfach op en héije Hafen geplënnert kënne ginn. и ass deen eenzege Wee fir sécherzestellen datt dës Servicer Firewalled oder behënnert sinn. Wa méiglech, sollt Dir Telnet guer net benotzen; dëse Protokoll ass net verschlësselt. Wann Dir et braucht an net ouni et maache kënnt, da suergfälteg iwwerwaacht a benotzt staark Passwierder.
Source: will.com