Statistikk for 24 timer etter installasjon av en honningkrukke på en Digital Ocean-node i Singapore
Pew Pew! La oss starte umiddelbart med angrepskartet
Vårt superkule kart viser de unike ASN-ene som koblet til Cowrie honningpotte innen 24 timer. Gult tilsvarer SSH-tilkoblinger, og rødt tilsvarer Telnet. Slike animasjoner imponerer ofte selskapets styre, noe som kan bidra til å sikre mer midler til sikkerhet og ressurser. Imidlertid har kartet en viss verdi, og viser tydelig den geografiske og organisatoriske spredningen av angrepskilder på verten vår på bare 24 timer. Animasjonen gjenspeiler ikke mengden trafikk fra hver kilde.
Hva er et Pew Pew-kart?
Pew Pew kart - Er , vanligvis animert og veldig vakker. Det er en fancy måte å selge produktet ditt på, beryktet brukt av Norse Corp. Selskapet endte dårlig: det viste seg at vakre animasjoner var deres eneste fordel, og de brukte fragmentariske data for analyse.
Laget med Leafletjs
For de som ønsker å designe et angrepskart for storskjermen i operasjonssentralen (sjefen din vil elske det), finnes det et bibliotek . Vi kombinerer det med plugin , Maxmind GeoIP-tjeneste - .
WTF: hva er denne Cowrie honningpotten?
Honeypot er et system som er plassert på nettverket spesielt for å lokke angripere. Tilkoblinger til systemet er vanligvis ulovlige og lar deg oppdage angriperen ved hjelp av detaljerte logger. Logger lagrer ikke bare vanlig tilkoblingsinformasjon, men også øktinformasjon som avslører teknikker, taktikk og prosedyrer (TTP) inntrenger.
opprettet for SSH- og Telnet-tilkoblingsposter. Slike honningpotter legges ofte på Internett for å spore verktøyene, skriptene og vertene til angripere.
Mitt budskap til selskaper som tror de ikke vil bli angrepet: «Du ser hardt ut».
– James Snook
Hva står i loggene?
Totalt antall tilkoblinger
Det var gjentatte tilkoblingsforsøk fra mange verter. Dette er normalt, siden angrepsskript har en fullstendig liste over legitimasjon og prøver flere kombinasjoner. Cowrie Honeypot er konfigurert til å akseptere visse kombinasjoner av brukernavn og passord. Dette er konfigurert i user.db-fil.
Geografi av angrep
Ved å bruke Maxmind geolokaliseringsdata, telte jeg antall tilkoblinger fra hvert land. Brasil og Kina leder med god margin, og det er ofte mye støy fra skannere som kommer fra disse landene.
Nettverksblokkeier
Å undersøke eierne av nettverksblokker (ASN) kan identifisere organisasjoner med et stort antall angripende verter. Selvfølgelig, i slike tilfeller bør du alltid huske at mange angrep kommer fra infiserte verter. Det er rimelig å anta at de fleste angripere ikke er dumme nok til å skanne nettverket fra en hjemmedatamaskin.
Åpne porter på angripende systemer (data fra Shodan.io)
Kjører IP-listen gjennom utmerket identifiserer raskt systemer med åpne porter og hva er disse portene? Figuren under viser konsentrasjonen av åpne havner etter land og organisasjon. Det ville være mulig å identifisere blokker med kompromitterte systemer, men innenfor lite utvalg ingenting utestående er synlig, bortsett fra et stort antall 500 åpne havner i Kina.
Et interessant funn er det store antallet systemer i Brasil som har ikke åpen 22, 23 eller andre havner, ifølge Censys og Shodan. Tilsynelatende er dette tilkoblinger fra sluttbrukerdatamaskiner.
Bots? Ikke nødvendig
Data for port 22 og 23 viste de noe merkelig den dagen. Jeg antok at de fleste skanninger og passordangrep kommer fra roboter. Skriptet sprer seg over åpne porter, gjetter passord, og kopierer seg selv fra det nye systemet og fortsetter å spre seg med samme metode.
Men her kan du se at kun et lite antall verter som skanner telnet har port 23 åpen mot utsiden. Dette betyr at systemene enten er kompromittert på en annen måte, eller angripere kjører skript manuelt.
Hjemmeforbindelser
Et annet interessant funn var det store antallet hjemmebrukere i utvalget. Ved bruk av omvendt oppslag Jeg identifiserte 105 tilkoblinger fra bestemte hjemmedatamaskiner. For mange hjemmetilkoblinger viser et omvendt DNS-oppslag vertsnavnet med ordene dsl, hjem, kabel, fiber og så videre.
Lær og utforsk: Hev din egen honningpotte
Jeg skrev nylig en kort veiledning om hvordan . Som allerede nevnt, i vårt tilfelle brukte vi Digital Ocean VPS i Singapore. For 24 timers analyse var kostnaden bokstavelig talt noen få cent, og tiden for å montere systemet var 30 minutter.
I stedet for å kjøre Cowrie på internett og fange all støyen, kan du dra nytte av honeypot på ditt lokale nettverk. Still inn et varsel konstant hvis forespørsler sendes til bestemte porter. Dette er enten en angriper inne i nettverket, eller en nysgjerrig ansatt, eller en sårbarhetsskanning.
Funn
Etter å ha sett handlingene til angripere over en XNUMX-timers periode, blir det klart at det er umulig å identifisere en klar kilde til angrep i noen organisasjon, land eller til og med operativsystem.
Den brede distribusjonen av kilder viser at skannestøy er konstant og ikke assosiert med en spesifikk kilde. Alle som jobber på Internett må sørge for at deres system flere sikkerhetsnivåer. En felles og effektiv løsning for SSH tjenesten vil flytte til en tilfeldig høy port. Dette eliminerer ikke behovet for streng passordbeskyttelse og overvåking, men sikrer i det minste at loggene ikke tettes ved konstant skanning. Høye portforbindelser er mer sannsynlig å være målrettede angrep, noe som kan være av interesse for deg.
Ofte er åpne telnet-porter på rutere eller andre enheter, så de kan ikke enkelt flyttes til en høy port. и er den eneste måten å sikre at disse tjenestene er brannmur eller deaktivert. Hvis mulig, bør du ikke bruke Telnet i det hele tatt, denne protokollen er ikke kryptert. Hvis du trenger det og ikke kan klare deg uten det, overvåk det nøye og bruk sterke passord.
Kilde: www.habr.com