Statistike fir 24 Stonnen no der Installatioun vun engem Honeypot op engem Digital Ocean Node zu Singapur
Pech Pech! Loosst eis direkt mat der Attack Kaart ufänken
Eis super cool Kaart weist déi eenzegaarteg ASNs déi mat eisem Cowrie Hunnegpot bannent 24 Stonnen verbonne sinn. Giel entsprécht SSH Verbindungen, a rout entsprécht Telnet. Esou Animatiounen beandrocken dacks de Verwaltungsrot vun der Firma, wat hëllefe kann méi Finanzéierung fir Sécherheet a Ressourcen sécheren. Wéi och ëmmer, d'Kaart huet e Wäert, wat d'geographesch an organisatoresch Verbreedung vun Attackquellen op eisem Host an nëmmen 24 Stonnen kloer weist. D'Animatioun reflektéiert net de Betrag vum Traffic vun all Quell.
Wat ass eng Pew Pew Kaart?
Pew Pew Kaart Ass
Gemaach mat Leafletjs
Fir déi, déi eng Attack Kaart fir de groussen Ecran am Operatiounszenter wëllen designen (Äre Chef wäert et gär hunn), gëtt et eng Bibliothéik
WTF: Wat ass dëse Cowrie Hunnegpot?
Honeypot ass e System deen am Netz gesat gëtt speziell fir Ugräifer ze lackelen. Verbindunge mam System sinn normalerweis illegal an erlaben Iech den Ugräifer mat detailléierte Logbicher z'entdecken. Logbicher späicheren net nëmme regelméisseg Verbindungsinformatioun, awer och Sessiounsinformatioun déi verroden Techniken, Taktiken a Prozeduren (TTP) Andréngen.
Mäi Message un d'Firmen déi mengen datt se net attackéiert ginn: "Dir sicht schwéier."
- James Snook
Wat ass an de Logbicher?
Total Zuel vun Verbindungen
Et goufen widderholl Verbindungsversich vu ville Hosten. Dëst ass normal, well Attack Scripten hunn eng voll Lëscht vun Umeldungsinformatiounen a probéieren verschidde Kombinatioune. De Cowrie Honeypot ass konfiguréiert fir verschidde Benotzernumm a Passwuert Kombinatiounen ze akzeptéieren. Dëst ass konfiguréiert an user.db Datei.
Geographie vun Attacken
Mat Maxmind Geolocatiounsdaten hunn ech d'Zuel vun de Verbindungen aus all Land gezielt. Brasilien a China féieren mat engem grousse Spillraum, an et gëtt dacks vill Kaméidi vu Scanner, déi aus dëse Länner kommen.
Reseau Block Besëtzer
D'Recherche vun de Besëtzer vun Netzwierkblocken (ASN) kann Organisatiounen mat enger grousser Zuel vun attackéierende Hosten identifizéieren. Natierlech sollt Dir an esou Fäll ëmmer drun erënneren datt vill Attacke vu infizéierte Hosten kommen. Et ass raisonnabel unzehuelen datt déi meescht Ugräifer net domm genuch sinn fir de Netzwierk vun engem Heemcomputer ze scannen.
Open Ports op Attacke Systemer (Date vu Shodan.io)
Lafen der IP Lëscht duerch excellent
Eng interessant Fonnt ass déi grouss Zuel vu Systemer a Brasilien déi hunn net op 22, 23 oder aner Häfen, laut Censys a Shodan. Anscheinend sinn dës Verbindunge vun Endbenotzer Computeren.
Bots? Net néideg
Donnéeën
Awer hei kënnt Dir gesinn datt nëmmen eng kleng Unzuel vun Hosten, déi Telnet scannen, den Hafen no baussen op hunn 23. Dat heescht datt d'Systemer entweder op eng aner Manéier kompromittéiert sinn, oder d'Ugräifer Scripte manuell lafen.
Home Verbindungen
Eng aner interessant Entdeckung war déi grouss Zuel vun Heembenotzer an der Probe. Duerch d'Benotzung ëmgedréint Lookup Ech identifizéiert 105 Verbindungen aus spezifesch doheem Computeren. Fir vill Heemverbindungen weist e Reverse DNS Lookup den Hostnumm mat de Wierder dsl, Heem, Kabel, Glasfaser, asw.
Léieren an Entdeckung: Erhéije Ären eegene Honeypot
Ech hunn viru kuerzem e kuerzen Tutorial geschriwwen wéi een
Amplaz Cowrie um Internet ze lafen an all de Kaméidi ze fänken, kënnt Dir vun Honeypot op Ärem lokalen Netzwierk profitéieren. Konstant eng Notifikatioun setzen wann Ufroe a bestëmmte Ports geschéckt ginn. Dëst ass entweder en Ugräifer am Netz, oder e virwëtzeg Mataarbechter, oder e Schwachstelle Scan.
Conclusiounen
Nodeems Dir d'Aktiounen vun den Ugräifer iwwer eng XNUMX-Stonne Period gekuckt hutt, gëtt et kloer datt et onméiglech ass eng kloer Quell vun Attacken an all Organisatioun, Land oder souguer Betribssystem z'identifizéieren.
Déi breet Verdeelung vu Quelle weist datt de Scangeräischer konstant ass an net mat enger spezifescher Quell assoziéiert. Jiddereen, deen um Internet schafft, muss dofir suergen, datt hire System verschidde Sécherheetsniveauen. Eng gemeinsam an efficace Léisung fir SSH de Service wäert zu engem zoufälleg héich port plënneren. Dëst eliminéiert net de Besoin fir strikt Passwuertschutz an Iwwerwaachung, awer op d'mannst garantéiert datt d'Logbicher net duerch konstante Scannen verstoppt sinn. Héich Portverbindunge si méi wahrscheinlech geziilt Attacken, déi Iech interesséieren.
Dacks sinn oppen Telnet Ports op Router oder aner Apparater, sou datt se net einfach op en héije Hafen geplënnert kënne ginn.
Source: will.com