24 valandų statistika įdiegus medaus puodą skaitmeniniame vandenyno mazge Singapūre
Šaudymo garsas! Iš karto pradėkime nuo puolimo žemėlapio
Mūsų super šauniame žemėlapyje rodomi unikalūs ASN, kurie per 24 valandas prisijungė prie mūsų Cowrie medaus puodo. Geltona spalva atitinka SSH ryšius, o raudona – Telnet. Tokios animacijos dažnai daro įspūdį įmonės direktorių valdybai, o tai gali padėti užtikrinti didesnį saugumą ir išteklius. Tačiau žemėlapis turi tam tikrą vertę, aiškiai parodydamas geografinį ir organizacinį atakų šaltinių paplitimą mūsų priegloboje tik per 24 valandas. Animacija neatspindi srauto iš kiekvieno šaltinio kiekio.
Kas yra Pew Pew žemėlapis?
Pew Pew žemėlapis - yra , dažniausiai animacinis ir labai gražus. Tai puikus būdas parduoti savo produktą, kurį liūdnai naudoja „Norse Corp. Kompanija baigėsi blogai: paaiškėjo, kad graži animacija buvo vienintelis jų privalumas, o analizei panaudoti fragmentiški duomenys.
Pagaminta su Leafletjs
Tiems, kurie nori sukurti atakos žemėlapį dideliam operacijų centro ekranui (jūsų viršininkui tai patiks), yra biblioteka . Sujungiame jį su papildiniu , Maxmind GeoIP paslauga – .
WTF: kas yra šis Cowrie medaus puodas?
„Honeypot“ yra sistema, kuri įdėta į tinklą specialiai užpuolikams privilioti. Prisijungimas prie sistemos paprastai yra neteisėtas ir leidžia aptikti užpuoliką naudojant išsamius žurnalus. Žurnaluose saugoma ne tik įprastinė ryšio informacija, bet ir sesijos informacija, kuri atskleidžia technikos, taktikos ir procedūros (TTP) įsibrovėlis.
sukurta SSH ir Telnet ryšio įrašai. Tokie medaus puodai dažnai dedami į internetą, kad būtų galima sekti įrankius, scenarijus ir užpuolikų prieglobsčius.
Mano žinutė įmonėms, kurios mano, kad jos nebus užpultos: „Jūs labai ieškote“.
– Džeimsas Snookas
Kas yra žurnaluose?
Bendras jungčių skaičius
Daugybė prieglobų bandė prisijungti pakartotinai. Tai normalu, nes atakos scenarijai turi visą kredencialų sąrašą ir bando kelis derinius. „Cowrie Honeypot“ yra sukonfigūruotas priimti tam tikrus vartotojo vardo ir slaptažodžio derinius. Tai sukonfigūruota user.db failą.
Išpuolių geografija
Naudodamas Maxmind geografinės vietos duomenis suskaičiavau jungčių skaičių iš kiekvienos šalies. Brazilija ir Kinija pirmauja dideliu skirtumu, o iš šių šalių skeneriai dažnai kelia daug triukšmo.
Tinklo bloko savininkas
Tiriant tinklo blokų (ASN) savininkus galima nustatyti organizacijas, turinčias daug atakuojančių prieglobų. Žinoma, tokiais atvejais visada turėtumėte atsiminti, kad daugelis atakų kyla iš užkrėstų šeimininkų. Galima pagrįstai manyti, kad dauguma užpuolikų nėra pakankamai kvaili, kad galėtų nuskaityti tinklą iš namų kompiuterio.
Atidaryti atakuojančių sistemų prievadus (duomenys iš Shodan.io)
IP sąrašo vykdymas puikiai greitai identifikuoja sistemos su atvirais prievadais o kas tie prievadai? Žemiau esančiame paveikslėlyje parodyta atvirų uostų koncentracija pagal šalis ir organizacijas. Būtų įmanoma nustatyti pažeistų sistemų blokus, bet viduje mažas mėginys nieko išskirtinio nematyti, išskyrus didelį skaičių Kinijoje atidaryta 500 uostų.
Įdomus atradimas yra daugybė Brazilijoje esančių sistemų 22, 23 nedirba arba kiti uostai, pagal Censys ir Shodan. Matyt, tai jungtys iš galutinių vartotojų kompiuterių.
Botai? Nereikalinga
Duomenys 22 ir 23 uostuose jie tą dieną rodė kažką keisto. Maniau, kad dauguma nuskaitymų ir slaptažodžių atakų kyla iš robotų. Scenarijus plinta per atvirus prievadus, atspėdamas slaptažodžius, nukopijuoja save iš naujos sistemos ir toliau plinta naudodamas tą patį metodą.
Bet čia matote, kad tik nedaugelis telnet nuskaitančių kompiuterių turi į išorę atvirą prievadą 23. Tai reiškia, kad sistemos yra arba kitu būdu pažeistos, arba užpuolikai rankiniu būdu paleidžia scenarijus.
Namų jungtys
Kitas įdomus atradimas buvo didelis namų vartotojų skaičius imtyje. Naudojant atvirkštinė paieška Nustačiau 105 jungtis iš konkrečių namų kompiuterių. Daugelio namų jungčių atveju atvirkštinė DNS paieška rodo pagrindinio kompiuterio pavadinimą su žodžiais dsl, namai, kabelis, šviesolaidis ir pan.
Mokykitės ir tyrinėkite: užsiauginkite savo medaus puodą
Neseniai parašiau trumpą pamoką, kaip tai padaryti . Kaip jau minėta, mūsų atveju Singapūre naudojome Digital Ocean VPS. 24 valandų analizės kaina buvo tiesiog keli centai, o sistemos surinkimo laikas buvo 30 minučių.
Užuot paleidę „Cowrie“ internete ir gaudę visą triukšmą, galite pasinaudoti „Honeypot“ vietiniame tinkle. Nuolat nustatykite pranešimą, jei užklausos siunčiamos į tam tikrus prievadus. Tai yra užpuolikas tinkle arba smalsus darbuotojas, arba pažeidžiamumo nuskaitymas.
išvados
Pažiūrėjus užpuolikų veiksmus per 24 valandas, tampa aišku, kad neįmanoma nustatyti aiškaus atakų šaltinio jokioje organizacijoje, šalyje ar net operacinėje sistemoje.
Platus šaltinių pasiskirstymas rodo, kad skenavimo triukšmas yra pastovus ir nesusijęs su konkrečiu šaltiniu. Kiekvienas, kuris dirba internete, turi užtikrinti, kad jų sistema keli saugumo lygiai. Įprastas ir efektyvus sprendimas SSH paslauga persikels į atsitiktinį aukštą prievadą. Tai nepanaikina griežtos apsaugos slaptažodžiu ir stebėjimo poreikio, bet bent jau užtikrina, kad žurnalai nebūtų užkimšti nuolatiniu skenavimu. Didelės prievado jungtys labiau tikėtina, kad tai bus tikslinės atakos, kurios gali jus sudominti.
Dažnai atviri telnet prievadai yra maršrutizatoriuose ar kituose įrenginiuose, todėl jų negalima lengvai perkelti į aukštą prievadą. и yra vienintelis būdas užtikrinti, kad šios paslaugos būtų užkardos arba išjungtos. Jei įmanoma, neturėtumėte naudoti Telnet, šis protokolas nėra užšifruotas. Jei jums to reikia ir negalite be jo, atidžiai stebėkite ir naudokite stiprius slaptažodžius.
Šaltinis: www.habr.com