Statistikk for 24 timer etter installasjon av en honningkrukke på en Digital Ocean-node i Singapore
Pew Pew! La oss starte umiddelbart med angrepskartet
Vårt superkule kart viser de unike ASN-ene som koblet til Cowrie honningpotte innen 24 timer. Gult tilsvarer SSH-tilkoblinger, og rødt tilsvarer Telnet. Slike animasjoner imponerer ofte selskapets styre, noe som kan bidra til å sikre mer midler til sikkerhet og ressurser. Imidlertid har kartet en viss verdi, og viser tydelig den geografiske og organisatoriske spredningen av angrepskilder på verten vår på bare 24 timer. Animasjonen gjenspeiler ikke mengden trafikk fra hver kilde.
Hva er et Pew Pew-kart?
Pew Pew kart - Er
Laget med Leafletjs
For de som ønsker å designe et angrepskart for storskjermen i operasjonssentralen (sjefen din vil elske det), finnes det et bibliotek
WTF: hva er denne Cowrie honningpotten?
Honeypot er et system som er plassert på nettverket spesielt for å lokke angripere. Tilkoblinger til systemet er vanligvis ulovlige og lar deg oppdage angriperen ved hjelp av detaljerte logger. Logger lagrer ikke bare vanlig tilkoblingsinformasjon, men også øktinformasjon som avslører teknikker, taktikk og prosedyrer (TTP) inntrenger.
Mitt budskap til selskaper som tror de ikke vil bli angrepet: «Du ser hardt ut».
– James Snook
Hva står i loggene?
Totalt antall tilkoblinger
Det var gjentatte tilkoblingsforsøk fra mange verter. Dette er normalt, siden angrepsskript har en fullstendig liste over legitimasjon og prøver flere kombinasjoner. Cowrie Honeypot er konfigurert til å akseptere visse kombinasjoner av brukernavn og passord. Dette er konfigurert i user.db-fil.
Geografi av angrep
Ved å bruke Maxmind geolokaliseringsdata, telte jeg antall tilkoblinger fra hvert land. Brasil og Kina leder med god margin, og det er ofte mye støy fra skannere som kommer fra disse landene.
Nettverksblokkeier
Å undersøke eierne av nettverksblokker (ASN) kan identifisere organisasjoner med et stort antall angripende verter. Selvfølgelig, i slike tilfeller bør du alltid huske at mange angrep kommer fra infiserte verter. Det er rimelig å anta at de fleste angripere ikke er dumme nok til å skanne nettverket fra en hjemmedatamaskin.
Åpne porter på angripende systemer (data fra Shodan.io)
Kjører IP-listen gjennom utmerket
Et interessant funn er det store antallet systemer i Brasil som har ikke åpen 22, 23 eller andre havner, ifølge Censys og Shodan. Tilsynelatende er dette tilkoblinger fra sluttbrukerdatamaskiner.
Bots? Ikke nødvendig
Data
Men her kan du se at kun et lite antall verter som skanner telnet har port 23 åpen mot utsiden. Dette betyr at systemene enten er kompromittert på en annen måte, eller angripere kjører skript manuelt.
Hjemmeforbindelser
Et annet interessant funn var det store antallet hjemmebrukere i utvalget. Ved bruk av omvendt oppslag Jeg identifiserte 105 tilkoblinger fra bestemte hjemmedatamaskiner. For mange hjemmetilkoblinger viser et omvendt DNS-oppslag vertsnavnet med ordene dsl, hjem, kabel, fiber og så videre.
Lær og utforsk: Hev din egen honningpotte
Jeg skrev nylig en kort veiledning om hvordan
I stedet for å kjøre Cowrie på internett og fange all støyen, kan du dra nytte av honeypot på ditt lokale nettverk. Still inn et varsel konstant hvis forespørsler sendes til bestemte porter. Dette er enten en angriper inne i nettverket, eller en nysgjerrig ansatt, eller en sårbarhetsskanning.
Funn
Etter å ha sett handlingene til angripere over en XNUMX-timers periode, blir det klart at det er umulig å identifisere en klar kilde til angrep i noen organisasjon, land eller til og med operativsystem.
Den brede distribusjonen av kilder viser at skannestøy er konstant og ikke assosiert med en spesifikk kilde. Alle som jobber på Internett må sørge for at deres system flere sikkerhetsnivåer. En felles og effektiv løsning for SSH tjenesten vil flytte til en tilfeldig høy port. Dette eliminerer ikke behovet for streng passordbeskyttelse og overvåking, men sikrer i det minste at loggene ikke tettes ved konstant skanning. Høye portforbindelser er mer sannsynlig å være målrettede angrep, noe som kan være av interesse for deg.
Ofte er åpne telnet-porter på rutere eller andre enheter, så de kan ikke enkelt flyttes til en høy port.
Kilde: www.habr.com