Statistika għal 24 siegħa wara l-installazzjoni ta 'honeypot fuq node Oċean Diġitali f'Singapor
Pew Pew! Ejja nibdew mill-ewwel bil-mappa tal-attakk
Il-mappa super cool tagħna turi l-ASNs uniċi li konnessi mal-honeypot Cowrie tagħna fi żmien 24 siegħa. Isfar jikkorrispondi għal konnessjonijiet SSH, u aħmar jikkorrispondi għal Telnet. Animazzjonijiet bħal dawn spiss jimpressjonaw lill-bord tad-diretturi tal-kumpanija, li jistgħu jgħinu biex jiżguraw aktar finanzjament għas-sigurtà u r-riżorsi. Madankollu, il-mappa għandha xi valur, li turi b'mod ċar it-tixrid ġeografiku u organizzattiv tas-sorsi tal-attakk fuq l-ospitant tagħna f'24 siegħa biss. L-animazzjoni ma tirriflettix l-ammont ta 'traffiku minn kull sors.
X'inhi mappa Pew Pew?
Pew Pew Mappa - dan hu , normalment animati u sbieħ ħafna. Huwa mod fancy kif tbigħ il-prodott tiegħek, użat b'mod infami minn Norse Corp. Il-kumpanija spiċċat ħażin: irriżulta li animazzjonijiet sbieħ kienu l-uniku vantaġġ tagħhom, u użaw data frammentarja għall-analiżi.
Magħmul bil-Fuljettjs
Għal dawk li jridu jiddisinjaw mappa tal-attakk għall-iskrin kbir fiċ-ċentru tal-operazzjonijiet (il-kap tiegħek ser iħobbha), hemm librerija . Aħna ngħaqqduha mal-plugin , servizz Maxmind GeoIP - .
WTF: x'inhu dan l-honeypot Cowrie?
Honeypot hija sistema li titqiegħed fuq in-netwerk speċifikament biex tħajjar lill-attakkanti. Konnessjonijiet mas-sistema huma ġeneralment illegali u jippermettulek tiskopri l-attakkant billi tuża zkuk dettaljati. Zkuk jaħżnu mhux biss informazzjoni ta 'konnessjoni regolari, iżda wkoll informazzjoni tas-sessjoni li tiżvela tekniki, tattiċi u proċeduri (TTP) intruż.
maħluqa għal Reġistri tal-konnessjoni SSH u Telnet. Honeypots bħal dawn ħafna drabi jitpoġġew fuq l-Internet biex jintraċċaw l-għodod, l-iskripts u l-ospiti tal-attakkanti.
Il-messaġġ tiegħi lill-kumpaniji li jaħsbu li mhux se jiġu attakkati: "Qed tfittex iebes."
— James Snook
X'hemm fil-zkuk?
Numru totali ta' konnessjonijiet
Kien hemm tentattivi ripetuti ta’ konnessjoni minn bosta hosts. Dan huwa normali, peress li l-iskripts tal-attakk għandhom lista sħiħa ta 'kredenzjali u jippruvaw diversi kombinazzjonijiet. Il-Cowrie Honeypot huwa kkonfigurat biex jaċċetta ċerti kombinazzjonijiet ta' username u password. Dan huwa kkonfigurat fi fajl user.db.
Ġeografija tal-attakki
Bl-użu tad-dejta tal-ġeolokazzjoni ta 'Maxmind, għoddt in-numru ta' konnessjonijiet minn kull pajjiż. Il-Brażil u ċ-Ċina jwasslu b'marġni wiesa', u ħafna drabi jkun hemm ħafna storbju minn skaners li ġejjin minn dawn il-pajjiżi.
Sid tal-blokk tan-netwerk
Ir-riċerka tas-sidien ta 'blokki tan-netwerk (ASN) tista' tidentifika organizzazzjonijiet b'numru kbir ta 'hosts li jattakkaw. Naturalment, f'każijiet bħal dawn għandek dejjem tiftakar li ħafna attakki jiġu minn hosts infettati. Huwa raġonevoli li wieħed jassumi li ħafna mill-attakkanti mhumiex stupidi biżżejjed biex jiskennjaw in-Netwerk minn kompjuter tad-dar.
Portijiet miftuħa fuq sistemi li jattakkaw (dejta minn Shodan.io)
Tmexxi l-lista IP permezz eċċellenti malajr jidentifika sistemi b'portijiet miftuħa u x'inhuma dawn il-portijiet? Il-figura hawn taħt turi l-konċentrazzjoni tal-portijiet miftuħa skont il-pajjiż u l-organizzazzjoni. Ikun possibbli li jiġu identifikati blokki ta 'sistemi kompromessi, iżda fi ħdan kampjun żgħir xejn pendenti huwa viżibbli, ħlief għal numru kbir 500 port miftuħ fiċ-Ċina.
Sejba interessanti hija n-numru kbir ta 'sistemi fil-Brażil li għandhom mhux miftuħ 22, 23 jew portijiet oħra, skond Censys u Shodan. Apparentement dawn huma konnessjonijiet minn kompjuters tal-utenti finali.
Bots? Mhux meħtieġ
Data għall-portijiet 22 u 23 urew xi ħaġa stramba dakinhar. Asssumi li l-biċċa l-kbira tal-iskans u l-attakki tal-password jiġu minn bots. L-iskrittura tinfirex fuq portijiet miftuħa, guessing passwords, u tikkopja ruħha mis-sistema l-ġdida u tkompli tinfirex bl-istess metodu.
Imma hawn tista 'tara li numru żgħir biss ta' hosts li jiskannjaw it-telnet għandhom il-port 23 miftuħ għal barra.Dan ifisser li s-sistemi jew huma kompromessi b'xi mod ieħor, jew l-attakkanti qed imexxu skripts manwalment.
Konnessjonijiet tad-dar
Sejba oħra interessanti kienet in-numru kbir ta 'utenti domestiċi fil-kampjun. Bl-użu tfittxija b'lura Identifikajt 105 konnessjoni minn kompjuters tad-dar speċifiċi. Għal ħafna konnessjonijiet tad-dar, tfittxija inversa tad-DNS turi l-isem tal-host bil-kliem dsl, home, cable, fiber, eċċ.
Tgħallem u Esplora: Għolli l-Honeypot Tiegħek
Dan l-aħħar ktibt tutorial qasir dwar kif . Kif diġà ssemma, fil-każ tagħna użajna Digital Ocean VPS f'Singapor. Għal 24 siegħa ta 'analiżi, l-ispiża kienet litteralment ftit ċenteżmi, u l-ħin biex tinġabar is-sistema kien ta' 30 minuta.
Minflok ma tħaddem Cowrie fuq l-internet u taqbad l-istorbju kollu, tista’ tibbenefika minn honeypot fuq in-netwerk lokali tiegħek. Issettja kontinwament notifika jekk it-talbiet jintbagħtu lil ċerti portijiet. Dan huwa jew attakkant ġewwa n-netwerk, jew impjegat kurjuż, jew skan tal-vulnerabbiltà.
Sejbiet
Wara li tara l-azzjonijiet ta 'attakkanti fuq perjodu ta' XNUMX siegħa, isir ċar li huwa impossibbli li jiġi identifikat sors ċar ta 'attakki fi kwalunkwe organizzazzjoni, pajjiż, jew saħansitra sistema operattiva.
Id-distribuzzjoni wiesgħa tas-sorsi turi li l-istorbju tal-iskanjar huwa kostanti u mhux assoċjat ma 'sors speċifiku. Kull min jaħdem fuq l-Internet għandu jiżgura li s-sistema tiegħu diversi livelli ta’ sigurtà. Soluzzjoni komuni u effettiva għal SSH is-servizz se jimxi lejn port għoli każwali. Dan ma jeliminax il-ħtieġa għal protezzjoni u monitoraġġ stretti tal-password, iżda għall-inqas jiżgura li z-zkuk ma jiġux misduda bi skannjar kostanti. Konnessjonijiet ta 'port għoli huma aktar probabbli li jkunu attakki mmirati, li jistgħu jkunu ta' interess għalik.
Ħafna drabi l-portijiet telnet miftuħa jkunu fuq routers jew apparat ieħor, għalhekk ma jistgħux jiġu mċaqalqa faċilment għal port għoli. и huwa l-uniku mod biex jiġi żgurat li dawn is-servizzi huma firewalled jew diżattivati. Jekk possibbli, m'għandek tuża Telnet xejn; dan il-protokoll mhuwiex kriptat. Jekk għandek bżonnha u ma tistax tgħaddi mingħajrha, imbagħad immonitorjaha bir-reqqa u uża passwords b'saħħithom.
Sors: www.habr.com