Statistika 24 stundām pēc meduspoda instalēšanas Digital Ocean mezglā Singapūrā
Pew Pew! Sāksim uzreiz ar uzbrukuma karti
Mūsu lieliskā karte parāda unikālos ASN, kas 24 stundu laikā savienojās ar mūsu Cowrie meduspodu. Dzeltens atbilst SSH savienojumiem, un sarkans atbilst Telnet. Šādas animācijas bieži atstāj iespaidu uz uzņēmuma direktoru padomi, kas var palīdzēt nodrošināt lielāku finansējumu drošībai un resursiem. Tomēr kartei ir zināma vērtība, un tā skaidri parāda uzbrukuma avotu ģeogrāfisko un organizatorisko izplatību mūsu resursdatorā tikai 24 stundu laikā. Animācija neatspoguļo trafika apjomu no katra avota.
Kas ir Pew Pew karte?
Pew Pew karte -Šo
Izgatavots ar Leafletjs
Tiem, kas vēlas izveidot uzbrukuma karti operāciju centra lielajam ekrānam (tas patiks jūsu priekšniekam), ir pieejama bibliotēka
WTF: kas ir šis Cowrie meduspods?
Honeypot ir sistēma, kas ir ievietota tīklā, lai pievilinātu uzbrucējus. Savienojumi ar sistēmu parasti ir nelikumīgi un ļauj atklāt uzbrucēju, izmantojot detalizētus žurnālus. Žurnāli glabā ne tikai regulāru savienojuma informāciju, bet arī sesijas informāciju, kas atklāj paņēmieni, taktika un procedūras (TTP) iebrucējs.
Mans ziņojums uzņēmumiem, kuri domā, ka viņiem netiks uzbrukts: "Jūs rūpīgi meklējat."
— Džeimss Snūks
Kas ir žurnālos?
Kopējais savienojumu skaits
Atkārtoti tika mēģināts izveidot savienojumu no daudziem saimniekiem. Tas ir normāli, jo uzbrukuma skriptiem ir pilns akreditācijas datu saraksts un tiek izmēģinātas vairākas kombinācijas. Cowrie Honeypot ir konfigurēts, lai pieņemtu noteiktas lietotājvārda un paroles kombinācijas. Tas ir konfigurēts user.db failu.
Uzbrukumu ģeogrāfija
Izmantojot Maxmind ģeogrāfiskās atrašanās vietas datus, es saskaitīju savienojumu skaitu no katras valsts. Brazīlija un Ķīna ieņem lielu pārsvaru, un bieži vien ir liels troksnis no skeneriem, kas nāk no šīm valstīm.
Tīkla bloka īpašnieks
Tīkla bloku (ASN) īpašnieku izpēte var identificēt organizācijas ar lielu skaitu uzbrūkošo saimniekdatoru. Protams, šādos gadījumos vienmēr jāatceras, ka daudzi uzbrukumi nāk no inficētiem saimniekiem. Ir saprātīgi pieņemt, ka lielākā daļa uzbrucēju nav pietiekami stulbi, lai skenētu tīklu no mājas datora.
Atvērt portus uzbrūkošajām sistēmām (dati no Shodan.io)
IP saraksta palaišana ar izcilu
Interesants atradums ir lielais Brazīlijas sistēmu skaits, kurām ir nav atvērts 22., 23 vai citas ostas, saskaņā ar Censys un Shodan. Acīmredzot tie ir savienojumi no gala lietotāju datoriem.
Boti? Nav nepieciešams
Dati
Bet šeit var redzēt, ka tikai nelielam skaitam telnet skenējošo saimniekdatoru uz ārpusi ir atvērts ports 23. Tas nozīmē, ka sistēmas ir vai nu kādā citā veidā apdraudētas, vai arī uzbrucēji palaiž skriptus manuāli.
Mājas savienojumi
Vēl viens interesants atklājums bija lielais mājas lietotāju skaits izlasē. Izmantojot apgrieztā meklēšana Es identificēju 105 savienojumus no konkrētiem mājas datoriem. Daudziem mājas savienojumiem reversā DNS uzmeklēšana parāda resursdatora nosaukumu ar vārdiem dsl, home, cable, fiber utt.
Mācieties un izpētiet: paceliet savu medus podu
Es nesen uzrakstīju īsu pamācību par to, kā
Tā vietā, lai palaistu Cowrie internetā un uztvertu visu troksni, varat gūt labumu no Houspot savā vietējā tīklā. Pastāvīgi iestatiet paziņojumu, ja pieprasījumi tiek nosūtīti uz noteiktiem portiem. Tas ir vai nu uzbrucējs tīklā, vai ziņkārīgs darbinieks, vai ievainojamības skenēšana.
Atzinumi
Apskatot uzbrucēju darbības XNUMX stundu periodā, kļūst skaidrs, ka nav iespējams identificēt skaidru uzbrukumu avotu nevienā organizācijā, valstī vai pat operētājsistēmā.
Plašais avotu sadalījums liecina, ka skenēšanas troksnis ir nemainīgs un nav saistīts ar konkrētu avotu. Ikvienam, kurš strādā internetā, ir jānodrošina, ka viņu sistēma vairāki drošības līmeņi. Izplatīts un efektīvs risinājums SSH pakalpojums tiks pārvietots uz nejauši izvēlētu augstu portu. Tas nenovērš nepieciešamību pēc stingras paroles aizsardzības un uzraudzības, bet vismaz nodrošina to, ka žurnāli netiek aizsērēti ar pastāvīgu skenēšanu. Augstas pieslēgvietas savienojumi, visticamāk, būs mērķtiecīgi uzbrukumi, kas var jūs interesēt.
Bieži vien atvērtie telnet porti atrodas maršrutētājos vai citās ierīcēs, tāpēc tos nevar viegli pārvietot uz augstu portu.
Avots: www.habr.com