24 valandų statistika įdiegus medaus puodą skaitmeniniame vandenyno mazge Singapūre
Šaudymo garsas! Iš karto pradėkime nuo puolimo žemėlapio
Mūsų super šauniame žemėlapyje rodomi unikalūs ASN, kurie per 24 valandas prisijungė prie mūsų Cowrie medaus puodo. Geltona spalva atitinka SSH ryšius, o raudona – Telnet. Tokios animacijos dažnai daro įspūdį įmonės direktorių valdybai, o tai gali padėti užtikrinti didesnį saugumą ir išteklius. Tačiau žemėlapis turi tam tikrą vertę, aiškiai parodydamas geografinį ir organizacinį atakų šaltinių paplitimą mūsų priegloboje tik per 24 valandas. Animacija neatspindi srauto iš kiekvieno šaltinio kiekio.
Kas yra Pew Pew žemėlapis?
Pew Pew žemėlapis - yra
Pagaminta su Leafletjs
Tiems, kurie nori sukurti atakos žemėlapį dideliam operacijų centro ekranui (jūsų viršininkui tai patiks), yra biblioteka
WTF: kas yra šis Cowrie medaus puodas?
„Honeypot“ yra sistema, kuri įdėta į tinklą specialiai užpuolikams privilioti. Prisijungimas prie sistemos paprastai yra neteisėtas ir leidžia aptikti užpuoliką naudojant išsamius žurnalus. Žurnaluose saugoma ne tik įprastinė ryšio informacija, bet ir sesijos informacija, kuri atskleidžia technikos, taktikos ir procedūros (TTP) įsibrovėlis.
Mano žinutė įmonėms, kurios mano, kad jos nebus užpultos: „Jūs labai ieškote“.
– Džeimsas Snookas
Kas yra žurnaluose?
Bendras jungčių skaičius
Daugybė prieglobų bandė prisijungti pakartotinai. Tai normalu, nes atakos scenarijai turi visą kredencialų sąrašą ir bando kelis derinius. „Cowrie Honeypot“ yra sukonfigūruotas priimti tam tikrus vartotojo vardo ir slaptažodžio derinius. Tai sukonfigūruota user.db failą.
Išpuolių geografija
Naudodamas Maxmind geografinės vietos duomenis suskaičiavau jungčių skaičių iš kiekvienos šalies. Brazilija ir Kinija pirmauja dideliu skirtumu, o iš šių šalių skeneriai dažnai kelia daug triukšmo.
Tinklo bloko savininkas
Tiriant tinklo blokų (ASN) savininkus galima nustatyti organizacijas, turinčias daug atakuojančių prieglobų. Žinoma, tokiais atvejais visada turėtumėte atsiminti, kad daugelis atakų kyla iš užkrėstų šeimininkų. Galima pagrįstai manyti, kad dauguma užpuolikų nėra pakankamai kvaili, kad galėtų nuskaityti tinklą iš namų kompiuterio.
Atidaryti atakuojančių sistemų prievadus (duomenys iš Shodan.io)
IP sąrašo vykdymas puikiai
Įdomus atradimas yra daugybė Brazilijoje esančių sistemų 22, 23 nedirba arba kiti uostai, pagal Censys ir Shodan. Matyt, tai jungtys iš galutinių vartotojų kompiuterių.
Botai? Nereikalinga
Duomenys
Bet čia matote, kad tik nedaugelis telnet nuskaitančių kompiuterių turi į išorę atvirą prievadą 23. Tai reiškia, kad sistemos yra arba kitu būdu pažeistos, arba užpuolikai rankiniu būdu paleidžia scenarijus.
Namų jungtys
Kitas įdomus atradimas buvo didelis namų vartotojų skaičius imtyje. Naudojant atvirkštinė paieška Nustačiau 105 jungtis iš konkrečių namų kompiuterių. Daugelio namų jungčių atveju atvirkštinė DNS paieška rodo pagrindinio kompiuterio pavadinimą su žodžiais dsl, namai, kabelis, šviesolaidis ir pan.
Mokykitės ir tyrinėkite: užsiauginkite savo medaus puodą
Neseniai parašiau trumpą pamoką, kaip tai padaryti
Užuot paleidę „Cowrie“ internete ir gaudę visą triukšmą, galite pasinaudoti „Honeypot“ vietiniame tinkle. Nuolat nustatykite pranešimą, jei užklausos siunčiamos į tam tikrus prievadus. Tai yra užpuolikas tinkle arba smalsus darbuotojas, arba pažeidžiamumo nuskaitymas.
išvados
Pažiūrėjus užpuolikų veiksmus per 24 valandas, tampa aišku, kad neįmanoma nustatyti aiškaus atakų šaltinio jokioje organizacijoje, šalyje ar net operacinėje sistemoje.
Platus šaltinių pasiskirstymas rodo, kad skenavimo triukšmas yra pastovus ir nesusijęs su konkrečiu šaltiniu. Kiekvienas, kuris dirba internete, turi užtikrinti, kad jų sistema keli saugumo lygiai. Įprastas ir efektyvus sprendimas SSH paslauga persikels į atsitiktinį aukštą prievadą. Tai nepanaikina griežtos apsaugos slaptažodžiu ir stebėjimo poreikio, bet bent jau užtikrina, kad žurnalai nebūtų užkimšti nuolatiniu skenavimu. Didelės prievado jungtys labiau tikėtina, kad tai bus tikslinės atakos, kurios gali jus sudominti.
Dažnai atviri telnet prievadai yra maršrutizatoriuose ar kituose įrenginiuose, todėl jų negalima lengvai perkelti į aukštą prievadą.
Šaltinis: www.habr.com