Statistieken voor 24 uur na installatie van een honeypot op een Digital Ocean-knooppunt in Singapore
Pew Pew! Laten we meteen beginnen met de aanvalskaart
Onze supercoole kaart toont de unieke ASN's die binnen 24 uur verbinding maakten met onze Cowrie-honingpot. Geel komt overeen met SSH-verbindingen en rood komt overeen met Telnet. Dergelijke animaties maken vaak indruk op de raad van bestuur van het bedrijf, wat kan helpen meer financiering voor beveiliging en middelen binnen te halen. De kaart heeft echter wel enige waarde en toont duidelijk de geografische en organisatorische verspreiding van aanvalsbronnen op onze host in slechts 24 uur. De animatie geeft niet de hoeveelheid verkeer van elke bron weer.
Wat is een Pew Pew-kaart?
Pew Pew-kaart - Is
Gemaakt met Leafletjs
Voor degenen die een aanvalskaart willen ontwerpen voor het grote scherm in het operatiecentrum (je baas zal er dol op zijn), is er een bibliotheek
WTF: wat is deze Cowrie-honingpot?
Honeypot is een systeem dat speciaal op het netwerk wordt geplaatst om aanvallers te lokken. Verbindingen met het systeem zijn meestal illegaal en stellen u in staat de aanvaller te detecteren met behulp van gedetailleerde logboeken. Logboeken slaan niet alleen reguliere verbindingsinformatie op, maar ook sessie-informatie die onthult technieken, tactieken en procedures (TTP) indringer.
Mijn boodschap aan bedrijven die denken dat ze niet zullen worden aangevallen: "Jullie kijken goed."
–James Snoek
Wat staat er in de logboeken?
Totaal aantal verbindingen
Er waren herhaalde verbindingspogingen van veel hosts. Dit is normaal, omdat aanvalsscripts een volledige lijst met inloggegevens hebben en verschillende combinaties proberen. De Cowrie Honeypot is geconfigureerd om bepaalde combinaties van gebruikersnaam en wachtwoord te accepteren. Dit is geconfigureerd in user.db-bestand.
Geografie van aanvallen
Met behulp van de geolocatiegegevens van Maxmind telde ik het aantal verbindingen uit elk land. Brazilië en China lopen met ruime voorsprong voorop, en er is vaak veel lawaai van scanners uit deze landen.
Eigenaar van netwerkblok
Door onderzoek te doen naar de eigenaren van netwerkblokken (ASN) kunnen organisaties met een groot aantal aanvallende hosts worden geïdentificeerd. Natuurlijk moet u in dergelijke gevallen altijd onthouden dat veel aanvallen afkomstig zijn van geïnfecteerde hosts. Het is redelijk om aan te nemen dat de meeste aanvallers niet dom genoeg zijn om het netwerk vanaf een thuiscomputer te scannen.
Open poorten op aanvallende systemen (gegevens van Shodan.io)
Het doorlopen van de IP-lijst is uitstekend
Een interessante vondst is het grote aantal systemen in Brazilië die dat wel hebben niet geopend 22, 23 of andere havens, aldus Censys en Shodan. Blijkbaar zijn dit verbindingen van computers van eindgebruikers.
Botten? Niet nodig
Gegevens
Maar hier kun je zien dat slechts een klein aantal hosts die Telnet scannen, poort 23 naar buiten toe open hebben. Dit betekent dat de systemen op een andere manier zijn gecompromitteerd, of dat aanvallers scripts handmatig uitvoeren.
Thuisverbindingen
Een andere interessante bevinding was het grote aantal thuisgebruikers in de steekproef. Door het gebruiken van omgekeerd opzoeken Ik heb 105 verbindingen van specifieke thuiscomputers geïdentificeerd. Voor veel thuisverbindingen wordt bij een omgekeerde DNS-zoekopdracht de hostnaam weergegeven met de woorden dsl, home, cable, fiber, enzovoort.
Leer en ontdek: hef uw eigen honingpot op
Ik heb onlangs een korte tutorial geschreven over hoe je dat kunt doen
In plaats van Cowrie op internet te laten draaien en alle ruis op te vangen, kunt u profiteren van honeypot op uw lokale netwerk. Stel voortdurend een melding in als er verzoeken naar bepaalde poorten worden verzonden. Dit is óf een aanvaller binnen het netwerk, óf een nieuwsgierige medewerker, óf een kwetsbaarheidsscan.
Bevindingen
Na het bekijken van de acties van aanvallers gedurende een periode van XNUMX uur wordt het duidelijk dat het onmogelijk is om een duidelijke bron van aanvallen te identificeren in welke organisatie, land of zelfs besturingssysteem dan ook.
De brede verspreiding van bronnen laat zien dat scanruis constant is en niet geassocieerd is met een specifieke bron. Iedereen die op internet werkt, moet ervoor zorgen dat zijn systeem meerdere beveiligingsniveaus. Een gemeenschappelijke en effectieve oplossing voor SSH de service wordt naar een willekeurige hoge poort verplaatst. Dit elimineert niet de noodzaak van strikte wachtwoordbeveiliging en monitoring, maar zorgt er in ieder geval voor dat de logs niet verstopt raken door voortdurend scannen. Hoge poortverbindingen zijn waarschijnlijk gerichte aanvallen, die voor u interessant kunnen zijn.
Vaak bevinden open telnet-poorten zich op routers of andere apparaten, zodat ze niet gemakkelijk naar een hoge poort kunnen worden verplaatst.
Bron: www.habr.com