Statistieken voor 24 uur na installatie van een honeypot op een Digital Ocean-knooppunt in Singapore
Pew Pew! Laten we meteen beginnen met de aanvalskaart
Onze supercoole kaart toont de unieke ASN's die binnen 24 uur verbinding maakten met onze Cowrie-honingpot. Geel komt overeen met SSH-verbindingen en rood komt overeen met Telnet. Dergelijke animaties maken vaak indruk op de raad van bestuur van het bedrijf, wat kan helpen meer financiering voor beveiliging en middelen binnen te halen. De kaart heeft echter wel enige waarde en toont duidelijk de geografische en organisatorische verspreiding van aanvalsbronnen op onze host in slechts 24 uur. De animatie geeft niet de hoeveelheid verkeer van elke bron weer.
Wat is een Pew Pew-kaart?
Pew Pew-kaart - Is , meestal geanimeerd en erg mooi. Het is een mooie manier om uw product te verkopen, berucht gebruikt door Norse Corp. Het bedrijf eindigde slecht: het bleek dat prachtige animaties hun enige voordeel waren en ze gebruikten fragmentarische gegevens voor analyse.
Gemaakt met Leafletjs
Voor degenen die een aanvalskaart willen ontwerpen voor het grote scherm in het operatiecentrum (je baas zal er dol op zijn), is er een bibliotheek . Wij combineren het met de plugin , Maxmind GeoIP-service - .
WTF: wat is deze Cowrie-honingpot?
Honeypot is een systeem dat speciaal op het netwerk wordt geplaatst om aanvallers te lokken. Verbindingen met het systeem zijn meestal illegaal en stellen u in staat de aanvaller te detecteren met behulp van gedetailleerde logboeken. Logboeken slaan niet alleen reguliere verbindingsinformatie op, maar ook sessie-informatie die onthult technieken, tactieken en procedures (TTP) indringer.
gemaakt voor SSH- en Telnet-verbindingsrecords. Dergelijke honeypots worden vaak op internet geplaatst om de tools, scripts en hosts van aanvallers te volgen.
Mijn boodschap aan bedrijven die denken dat ze niet zullen worden aangevallen: "Jullie kijken goed."
–James Snoek
Wat staat er in de logboeken?
Totaal aantal verbindingen
Er waren herhaalde verbindingspogingen van veel hosts. Dit is normaal, omdat aanvalsscripts een volledige lijst met inloggegevens hebben en verschillende combinaties proberen. De Cowrie Honeypot is geconfigureerd om bepaalde combinaties van gebruikersnaam en wachtwoord te accepteren. Dit is geconfigureerd in user.db-bestand.
Geografie van aanvallen
Met behulp van de geolocatiegegevens van Maxmind telde ik het aantal verbindingen uit elk land. Brazilië en China lopen met ruime voorsprong voorop, en er is vaak veel lawaai van scanners uit deze landen.
Eigenaar van netwerkblok
Door onderzoek te doen naar de eigenaren van netwerkblokken (ASN) kunnen organisaties met een groot aantal aanvallende hosts worden geïdentificeerd. Natuurlijk moet u in dergelijke gevallen altijd onthouden dat veel aanvallen afkomstig zijn van geïnfecteerde hosts. Het is redelijk om aan te nemen dat de meeste aanvallers niet dom genoeg zijn om het netwerk vanaf een thuiscomputer te scannen.
Open poorten op aanvallende systemen (gegevens van Shodan.io)
Het doorlopen van de IP-lijst is uitstekend snel identificeert systemen met open poorten en wat zijn deze poorten? Onderstaande figuur toont de concentratie van open havens per land en per organisatie. Het zou mogelijk zijn om blokken van gecompromitteerde systemen te identificeren, maar dan binnenin klein monster niets bijzonders is zichtbaar, behalve een groot aantal 500 open poorten in China.
Een interessante vondst is het grote aantal systemen in Brazilië die dat wel hebben niet geopend 22, 23 of andere havens, aldus Censys en Shodan. Blijkbaar zijn dit verbindingen van computers van eindgebruikers.
Botten? Niet nodig
Gegevens voor havens 22 en 23 lieten ze die dag iets vreemds zien. Ik ging ervan uit dat de meeste scans en wachtwoordaanvallen afkomstig zijn van bots. Het script verspreidt zich over open poorten, raadt wachtwoorden, kopieert zichzelf van het nieuwe systeem en blijft zich op dezelfde manier verspreiden.
Maar hier kun je zien dat slechts een klein aantal hosts die Telnet scannen, poort 23 naar buiten toe open hebben. Dit betekent dat de systemen op een andere manier zijn gecompromitteerd, of dat aanvallers scripts handmatig uitvoeren.
Thuisverbindingen
Een andere interessante bevinding was het grote aantal thuisgebruikers in de steekproef. Door het gebruiken van omgekeerd opzoeken Ik heb 105 verbindingen van specifieke thuiscomputers geïdentificeerd. Voor veel thuisverbindingen wordt bij een omgekeerde DNS-zoekopdracht de hostnaam weergegeven met de woorden dsl, home, cable, fiber, enzovoort.
Leer en ontdek: hef uw eigen honingpot op
Ik heb onlangs een korte tutorial geschreven over hoe je dat kunt doen . Zoals reeds vermeld hebben wij in ons geval gebruik gemaakt van Digital Ocean VPS in Singapore. Voor 24 uur analyse bedroegen de kosten letterlijk een paar cent, en de tijd om het systeem in elkaar te zetten was 30 minuten.
In plaats van Cowrie op internet te laten draaien en alle ruis op te vangen, kunt u profiteren van honeypot op uw lokale netwerk. Stel voortdurend een melding in als er verzoeken naar bepaalde poorten worden verzonden. Dit is óf een aanvaller binnen het netwerk, óf een nieuwsgierige medewerker, óf een kwetsbaarheidsscan.
Bevindingen
Na het bekijken van de acties van aanvallers gedurende een periode van XNUMX uur wordt het duidelijk dat het onmogelijk is om een duidelijke bron van aanvallen te identificeren in welke organisatie, land of zelfs besturingssysteem dan ook.
De brede verspreiding van bronnen laat zien dat scanruis constant is en niet geassocieerd is met een specifieke bron. Iedereen die op internet werkt, moet ervoor zorgen dat zijn systeem meerdere beveiligingsniveaus. Een gemeenschappelijke en effectieve oplossing voor SSH de service wordt naar een willekeurige hoge poort verplaatst. Dit elimineert niet de noodzaak van strikte wachtwoordbeveiliging en monitoring, maar zorgt er in ieder geval voor dat de logs niet verstopt raken door voortdurend scannen. Hoge poortverbindingen zijn waarschijnlijk gerichte aanvallen, die voor u interessant kunnen zijn.
Vaak bevinden open telnet-poorten zich op routers of andere apparaten, zodat ze niet gemakkelijk naar een hoge poort kunnen worden verplaatst. и is de enige manier om ervoor te zorgen dat deze services door een firewall worden beschermd of uitgeschakeld. Gebruik Telnet indien mogelijk helemaal niet; dit protocol is niet gecodeerd. Als je het nodig hebt en niet zonder kunt, houd het dan zorgvuldig in de gaten en gebruik sterke wachtwoorden.
Bron: www.habr.com