Statystyki z 24 godzin po zainstalowaniu Honeypota w węźle Digital Ocean w Singapurze
Pew pew! Zacznijmy od razu od mapy ataku
Nasza super fajna mapa pokazuje unikalne numery ASN, które połączyły się z naszym Honeypotem Cowrie w ciągu 24 godzin. Żółty odpowiada połączeniom SSH, a czerwony Telnetowi. Takie animacje często robią wrażenie na zarządzie firmy, co może pomóc w zabezpieczeniu większych środków na bezpieczeństwo i zasoby. Mapa ma jednak pewną wartość, wyraźnie pokazując geograficzne i organizacyjne rozmieszczenie źródeł ataków na naszym hoście w ciągu zaledwie 24 godzin. Animacja nie odzwierciedla ilości ruchu z każdego źródła.
Co to jest mapa Pew Pew?
Mapa Pew Pew - jest
Wykonane za pomocą Leafletjs
Dla tych, którzy chcą zaprojektować mapę ataku na duży ekran w centrum operacyjnym (twój szef będzie zachwycony), dostępna jest biblioteka
WTF: co to za miodownik Cowrie?
Honeypot to system umieszczany w sieci specjalnie w celu zwabienia atakujących. Połączenia z systemem są zazwyczaj nielegalne i pozwalają na wykrycie atakującego na podstawie szczegółowych logów. Dzienniki przechowują nie tylko informacje o regularnym połączeniu, ale także informacje o sesji, które ujawniają techniki, taktyki i procedury (TTP) intruz.
Moja wiadomość do firm, które myślą, że nie zostaną zaatakowane: „Uważnie szukasz”.
— Jamesa Snooka
Co jest w logach?
Całkowita liczba połączeń
Wiele hostów podejmowało powtarzające się próby połączenia. Jest to normalne, ponieważ skrypty ataku mają pełną listę danych uwierzytelniających i wypróbowują kilka kombinacji. Cowrie Honeypot jest skonfigurowany tak, aby akceptował określone kombinacje nazwy użytkownika i hasła. Jest to skonfigurowane w plik user.db.
Geografia ataków
Korzystając z danych geolokalizacyjnych Maxmind, policzyłem liczbę połączeń z każdego kraju. Brazylia i Chiny przodują ze znaczną przewagą, a skanery pochodzące z tych krajów często powodują duży hałas.
Właściciel bloku sieciowego
Badanie właścicieli bloków sieciowych (ASN) pozwala zidentyfikować organizacje z dużą liczbą atakujących hostów. Oczywiście w takich przypadkach należy zawsze pamiętać, że wiele ataków pochodzi z zainfekowanych hostów. Rozsądnie jest założyć, że większość atakujących nie jest na tyle głupia, aby przeskanować sieć z komputera domowego.
Otwórz porty w systemach atakujących (dane z Shodan.io)
Uruchamianie listy adresów IP w sposób doskonały
Ciekawym odkryciem jest duża liczba systemów w Brazylii, które to posiadają nieczynne 22, 23 lub inne portywedług Censysa i Shodana. Najwyraźniej są to połączenia z komputerów użytkowników końcowych.
Boty? Niekoniecznie
Te
Jednak tutaj widać, że tylko niewielka liczba hostów skanujących telnet ma otwarty na zewnątrz port 23. Oznacza to, że systemy zostały albo przejęte w inny sposób, albo napastnicy ręcznie uruchamiają skrypty.
Połączenia domowe
Kolejnym interesującym odkryciem była duża liczba użytkowników domowych w próbie. Używając wyszukiwanie wsteczne Zidentyfikowałem 105 połączeń z konkretnych komputerów domowych. W przypadku wielu połączeń domowych odwrotne wyszukiwanie DNS wyświetla nazwę hosta ze słowami dsl, home, kabel, światłowód i tak dalej.
Ucz się i odkrywaj: stwórz swój własny Honeypot
Niedawno napisałem krótki poradnik jak to zrobić
Zamiast uruchamiać Cowrie w Internecie i wychwytywać cały hałas, możesz skorzystać z Honeypot w swojej sieci lokalnej. Ustawiaj stale powiadomienie, jeśli żądania zostaną wysłane do określonych portów. Jest to albo osoba atakująca w sieci, albo ciekawski pracownik, albo skanowanie podatności na zagrożenia.
odkrycia
Po przeanalizowaniu działań atakujących w ciągu XNUMX godzin staje się jasne, że niemożliwe jest zidentyfikowanie wyraźnego źródła ataków w jakiejkolwiek organizacji, kraju, a nawet systemie operacyjnym.
Szerokie rozmieszczenie źródeł pokazuje, że szum skanowania jest stały i nie jest powiązany z konkretnym źródłem. Każdy, kto pracuje w Internecie, musi zadbać o to, aby jego system kilka poziomów bezpieczeństwa. Powszechne i skuteczne rozwiązanie dla SSH usługa zostanie przeniesiona do losowego wysokiego portu. Nie eliminuje to konieczności ścisłej ochrony hasłem i monitorowania, ale przynajmniej zapewnia, że logi nie zostaną zatkane przez ciągłe skanowanie. Połączenia o dużej liczbie portów są bardziej podatne na ataki ukierunkowane, co może Cię zainteresować.
Często otwarte porty Telnet znajdują się na routerach lub innych urządzeniach, więc nie można ich łatwo przenieść do wyższego portu.
Źródło: www.habr.com