Statistika 24 stundām pēc meduspoda instalēšanas Digital Ocean mezglā Singapūrā
Pew Pew! Sāksim uzreiz ar uzbrukuma karti
Mūsu lieliskā karte parāda unikālos ASN, kas 24 stundu laikā savienojās ar mūsu Cowrie meduspodu. Dzeltens atbilst SSH savienojumiem, un sarkans atbilst Telnet. Šādas animācijas bieži atstāj iespaidu uz uzņēmuma direktoru padomi, kas var palīdzēt nodrošināt lielāku finansējumu drošībai un resursiem. Tomēr kartei ir zināma vērtība, un tā skaidri parāda uzbrukuma avotu ģeogrāfisko un organizatorisko izplatību mūsu resursdatorā tikai 24 stundu laikā. Animācija neatspoguļo trafika apjomu no katra avota.
Kas ir Pew Pew karte?
Pew Pew karte -Šo , parasti animēta un ļoti skaista. Tas ir izsmalcināts veids, kā pārdot savu produktu, ko bēdīgi izmanto Norse Corp. Uzņēmums beidzās slikti: izrādījās, ka viņu vienīgā priekšrocība bija skaistas animācijas, un analīzei tika izmantoti fragmentāri dati.
Izgatavots ar Leafletjs
Tiem, kas vēlas izveidot uzbrukuma karti operāciju centra lielajam ekrānam (tas patiks jūsu priekšniekam), ir pieejama bibliotēka . Mēs to apvienojam ar spraudni , Maxmind GeoIP pakalpojums - .
WTF: kas ir šis Cowrie meduspods?
Honeypot ir sistēma, kas ir ievietota tīklā, lai pievilinātu uzbrucējus. Savienojumi ar sistēmu parasti ir nelikumīgi un ļauj atklāt uzbrucēju, izmantojot detalizētus žurnālus. Žurnāli glabā ne tikai regulāru savienojuma informāciju, bet arī sesijas informāciju, kas atklāj paņēmieni, taktika un procedūras (TTP) iebrucējs.
izveidots SSH un Telnet savienojuma ieraksti. Šādi meduspodi bieži tiek ievietoti internetā, lai izsekotu uzbrucēju rīkiem, skriptiem un saimniekiem.
Mans ziņojums uzņēmumiem, kuri domā, ka viņiem netiks uzbrukts: "Jūs rūpīgi meklējat."
— Džeimss Snūks
Kas ir žurnālos?
Kopējais savienojumu skaits
Atkārtoti tika mēģināts izveidot savienojumu no daudziem saimniekiem. Tas ir normāli, jo uzbrukuma skriptiem ir pilns akreditācijas datu saraksts un tiek izmēģinātas vairākas kombinācijas. Cowrie Honeypot ir konfigurēts, lai pieņemtu noteiktas lietotājvārda un paroles kombinācijas. Tas ir konfigurēts user.db failu.
Uzbrukumu ģeogrāfija
Izmantojot Maxmind ģeogrāfiskās atrašanās vietas datus, es saskaitīju savienojumu skaitu no katras valsts. Brazīlija un Ķīna ieņem lielu pārsvaru, un bieži vien ir liels troksnis no skeneriem, kas nāk no šīm valstīm.
Tīkla bloka īpašnieks
Tīkla bloku (ASN) īpašnieku izpēte var identificēt organizācijas ar lielu skaitu uzbrūkošo saimniekdatoru. Protams, šādos gadījumos vienmēr jāatceras, ka daudzi uzbrukumi nāk no inficētiem saimniekiem. Ir saprātīgi pieņemt, ka lielākā daļa uzbrucēju nav pietiekami stulbi, lai skenētu tīklu no mājas datora.
Atvērt portus uzbrūkošajām sistēmām (dati no Shodan.io)
IP saraksta palaišana ar izcilu ātri identificē sistēmas ar atvērtām pieslēgvietām un kas ir šīs ostas? Zemāk redzamajā attēlā parādīta atvērto ostu koncentrācija pa valstīm un organizācijām. Būtu iespējams identificēt apdraudētu sistēmu blokus, bet to ietvaros mazs paraugs nekas izcils nav redzams, izņemot lielu skaitu 500 atvērtas ostas Ķīnā.
Interesants atradums ir lielais Brazīlijas sistēmu skaits, kurām ir nav atvērts 22., 23 vai citas ostas, saskaņā ar Censys un Shodan. Acīmredzot tie ir savienojumi no gala lietotāju datoriem.
Boti? Nav nepieciešams
Dati 22. un 23. ostai tajā dienā rādīja kaut ko dīvainu. Es pieņēmu, ka lielākā daļa skenēšanas un paroļu uzbrukumu nāk no robotprogrammatūras. Skripts izplatās pa atvērtiem portiem, uzminot paroles, un kopē sevi no jaunās sistēmas un turpina izplatīties, izmantojot to pašu metodi.
Bet šeit var redzēt, ka tikai nelielam skaitam telnet skenējošo saimniekdatoru uz ārpusi ir atvērts ports 23. Tas nozīmē, ka sistēmas ir vai nu kādā citā veidā apdraudētas, vai arī uzbrucēji palaiž skriptus manuāli.
Mājas savienojumi
Vēl viens interesants atklājums bija lielais mājas lietotāju skaits izlasē. Izmantojot apgrieztā meklēšana Es identificēju 105 savienojumus no konkrētiem mājas datoriem. Daudziem mājas savienojumiem reversā DNS uzmeklēšana parāda resursdatora nosaukumu ar vārdiem dsl, home, cable, fiber utt.
Mācieties un izpētiet: paceliet savu medus podu
Es nesen uzrakstīju īsu pamācību par to, kā . Kā jau minēts, mūsu gadījumā mēs izmantojām Digital Ocean VPS Singapūrā. 24 stundu analīzes izmaksas bija burtiski daži centi, un sistēmas montāžas laiks bija 30 minūtes.
Tā vietā, lai palaistu Cowrie internetā un uztvertu visu troksni, varat gūt labumu no Houspot savā vietējā tīklā. Pastāvīgi iestatiet paziņojumu, ja pieprasījumi tiek nosūtīti uz noteiktiem portiem. Tas ir vai nu uzbrucējs tīklā, vai ziņkārīgs darbinieks, vai ievainojamības skenēšana.
Atzinumi
Apskatot uzbrucēju darbības XNUMX stundu periodā, kļūst skaidrs, ka nav iespējams identificēt skaidru uzbrukumu avotu nevienā organizācijā, valstī vai pat operētājsistēmā.
Plašais avotu sadalījums liecina, ka skenēšanas troksnis ir nemainīgs un nav saistīts ar konkrētu avotu. Ikvienam, kurš strādā internetā, ir jānodrošina, ka viņu sistēma vairāki drošības līmeņi. Izplatīts un efektīvs risinājums SSH pakalpojums tiks pārvietots uz nejauši izvēlētu augstu portu. Tas nenovērš nepieciešamību pēc stingras paroles aizsardzības un uzraudzības, bet vismaz nodrošina to, ka žurnāli netiek aizsērēti ar pastāvīgu skenēšanu. Augstas pieslēgvietas savienojumi, visticamāk, būs mērķtiecīgi uzbrukumi, kas var jūs interesēt.
Bieži vien atvērtie telnet porti atrodas maršrutētājos vai citās ierīcēs, tāpēc tos nevar viegli pārvietot uz augstu portu. и ir vienīgais veids, kā nodrošināt šo pakalpojumu ugunsmūri vai atspējošanu. Ja iespējams, jums nevajadzētu izmantot Telnet vispār; šis protokols nav šifrēts. Ja jums tas ir nepieciešams un nevarat iztikt bez tā, rūpīgi uzraugiet to un izmantojiet spēcīgas paroles.
Avots: www.habr.com