Сингапур дахь Digital Ocean зангилаа дээр зөгийн бал суулгасны дараа 24 цагийн статистик
Пью Пью! Довтолгооны газрын зургаас шууд эхэлцгээе
Манай супер дажгүй газрын зураг нь манай Cowrie зөгийн балтай 24 цагийн дотор холбогдсон өвөрмөц ASN-уудыг харуулж байна. Шар нь SSH холболттой, улаан нь Telnet-тэй тохирч байна. Ийм хөдөлгөөнт дүрсүүд нь компанийн захирлуудын зөвлөлд ихэвчлэн сэтгэгдэл төрүүлдэг бөгөөд энэ нь аюулгүй байдал, нөөцөд илүү их санхүүжилт авахад тусалдаг. Гэсэн хэдий ч газрын зураг нь манай хост руу 24 цагийн дотор халдлагын эх үүсвэрийн газарзүйн болон зохион байгуулалтын тархалтыг тодорхой харуулсан үнэ цэнэтэй юм. Хөдөлгөөнт дүрс нь эх сурвалж бүрээс ирж буй хөдөлгөөний хэмжээг тусгаагүй болно.
Pew Pew газрын зураг гэж юу вэ?
Pew Pew газрын зураг Байна уу
Leafletjs-ээр хийсэн
Үйлдлийн төвийн том дэлгэцийн довтолгооны газрын зураг зохиох хүсэлтэй хүмүүст (таны даргад таалагдах болно) номын сан байдаг.
WTF: Энэ Cowrie зөгийн бал юу вэ?
Honeypot бол халдагчдыг татахын тулд сүлжээнд тусгайлан байрлуулсан систем юм. Системд холбогдох нь ихэвчлэн хууль бус бөгөөд нарийвчилсан бүртгэлийг ашиглан халдагчийг илрүүлэх боломжийг олгодог. Лог нь ердийн холболтын мэдээлэл төдийгүй илчлэх сессийн мэдээллийг хадгалдаг техник, тактик, журам (TTP) халдагч.
Өөрсдийгөө халдлагад өртөхгүй гэж бодож байгаа компаниудад хандан "Та нар шаргуу хайж байна" гэсэн мессеж.
- Жеймс Снук
Бүртгэлд юу байгаа вэ?
Холболтын нийт тоо
Олон хостоос дахин холбогдох оролдлого хийсэн. Довтолгооны скриптүүд нь итгэмжлэлийн бүрэн жагсаалттай бөгөөд хэд хэдэн хослолыг туршиж үзсэн тул энэ нь хэвийн үзэгдэл юм. Cowrie Honeypot нь тодорхой хэрэглэгчийн нэр болон нууц үгийн хослолыг хүлээн авахаар тохируулагдсан. Үүнийг тохируулсан байна user.db файл.
Довтолгооны газарзүй
Maxmind-ийн газарзүйн байршлын өгөгдлийг ашиглан би улс бүрээс холболтын тоог тоолсон. Бразил, Хятад хоёр тэргүүлж байгаа бөгөөд эдгээр улсаас ирж буй сканнерын дуу чимээ ихтэй байдаг.
Сүлжээний блок эзэмшигч
Сүлжээний блок (ASN) эзэмшигчдийг судлах нь олон тооны халдлагад өртөж буй хостуудтай байгууллагуудыг тодорхойлох боломжтой. Мэдээжийн хэрэг, ийм тохиолдолд олон халдлага нь халдвар авсан хостуудаас ирдэг гэдгийг үргэлж санаж байх хэрэгтэй. Ихэнх халдагчид гэрийн компьютерээс сүлжээг сканнердах тэнэг биш гэж үзэх нь үндэслэлтэй юм.
Довтолгооны систем дээрх портуудыг нээх (Shodan.io-ийн өгөгдөл)
IP жагсаалтыг маш сайн ажиллуулж байна
Сонирхолтой олдвор бол Бразилд байдаг олон тооны системүүд юм нээлттэй биш 22, 23 буюу бусад портууд, Censys болон Shodan нарын дагуу. Эдгээр нь эцсийн хэрэглэгчийн компьютерийн холболтууд бололтой.
Ботууд уу? Хэрэгцээгүй
мэдээ
Гэхдээ эндээс та telnet сканнердсан цөөн тооны хостууд 23-р портыг гаднаас нь нээж байгааг харж болно.Энэ нь системүүд ямар нэгэн байдлаар эвдэрсэн эсвэл халдагчид гараар скрипт ажиллуулж байна гэсэн үг юм.
Гэрийн холболтууд
Өөр нэг сонирхолтой дүгнэлт бол түүвэрт олон тооны гэрийн хэрэглэгчид байсан. Ашиглах замаар урвуу хайлт Би тодорхой гэрийн компьютеруудаас 105 холболтыг тодорхойлсон. Гэрийн олон холболтын хувьд урвуу DNS хайлт нь dsl, home, cable, fiber гэх мэт үгс бүхий хостын нэрийг харуулдаг.
Сура, судал: Өөрийн зөгийн балны савыг өсгө
Би саяхан хэрхэн хийх талаар богино хэмжээний заавар бичсэн
Cowrie-г интернетээр ажиллуулж, бүх чимээ шуугианыг барихын оронд та дотоод сүлжээндээ зөгийн балны савны ашиг тусыг хүртэх боломжтой. Тодорхой портууд руу хүсэлт илгээсэн тохиолдолд мэдэгдлийг байнга тохируул. Энэ нь сүлжээн дэх халдагчид, эсвэл сониуч ажилтан, эсвэл эмзэг байдлын хайлт юм.
үр дүн нь
Халдагчдын XNUMX цагийн турш хийсэн үйлдлүүдийг үзсэний дараа аливаа байгууллага, улс орон, тэр ч байтугай үйлдлийн системд халдлагын тодорхой эх сурвалжийг тодорхойлох боломжгүй гэдэг нь тодорхой болсон.
Эх сурвалжийн өргөн тархалт нь сканнердах дуу чимээ тогтмол бөгөөд тодорхой эх сурвалжтай холбоогүй болохыг харуулж байна. Интернет дээр ажилладаг хэн бүхэн өөрсдийн системээ баталгаажуулах ёстой хэд хэдэн аюулгүй байдлын түвшин. Нийтлэг бөгөөд үр дүнтэй шийдэл SSH үйлчилгээ санамсаргүй өндөр порт руу шилжих болно. Энэ нь нууц үгийн хатуу хамгаалалт, хяналт тавих хэрэгцээг арилгадаггүй ч ядаж л байнга сканнердсанаар бүртгэлүүд бөглөрөхгүй байх баталгаа болдог. Өндөр портын холболтууд нь зорилтот халдлагад өртөх магадлал өндөр байдаг бөгөөд энэ нь танд сонирхолтой байж магадгүй юм.
Ихэнхдээ нээлттэй telnet портууд нь чиглүүлэгч эсвэл бусад төхөөрөмж дээр байдаг тул тэдгээрийг өндөр порт руу хялбархан шилжүүлэх боломжгүй байдаг.
Эх сурвалж: www.habr.com