Statystyki z 24 godzin po zainstalowaniu Honeypota w węźle Digital Ocean w Singapurze
Pew pew! Zacznijmy od razu od mapy ataku
Nasza super fajna mapa pokazuje unikalne numery ASN, które połączyły się z naszym Honeypotem Cowrie w ciągu 24 godzin. Żółty odpowiada połączeniom SSH, a czerwony Telnetowi. Takie animacje często robią wrażenie na zarządzie firmy, co może pomóc w zabezpieczeniu większych środków na bezpieczeństwo i zasoby. Mapa ma jednak pewną wartość, wyraźnie pokazując geograficzne i organizacyjne rozmieszczenie źródeł ataków na naszym hoście w ciągu zaledwie 24 godzin. Animacja nie odzwierciedla ilości ruchu z każdego źródła.
Co to jest mapa Pew Pew?
Mapa Pew Pew - jest , zwykle animowane i bardzo piękne. To fantazyjny sposób sprzedaży produktu, niesławnie używany przez Norse Corp. Firma źle skończyła: okazało się, że ich jedyną zaletą są piękne animacje, a do analizy wykorzystali fragmentaryczne dane.
Wykonane za pomocą Leafletjs
Dla tych, którzy chcą zaprojektować mapę ataku na duży ekran w centrum operacyjnym (twój szef będzie zachwycony), dostępna jest biblioteka . Łączymy to z wtyczką , usługa Maxmind GeoIP - .
WTF: co to za miodownik Cowrie?
Honeypot to system umieszczany w sieci specjalnie w celu zwabienia atakujących. Połączenia z systemem są zazwyczaj nielegalne i pozwalają na wykrycie atakującego na podstawie szczegółowych logów. Dzienniki przechowują nie tylko informacje o regularnym połączeniu, ale także informacje o sesji, które ujawniają techniki, taktyki i procedury (TTP) intruz.
stworzone dla Zapisy połączeń SSH i Telnet. Takie Honeypoty są często umieszczane w Internecie w celu śledzenia narzędzi, skryptów i zastępów atakujących.
Moja wiadomość do firm, które myślą, że nie zostaną zaatakowane: „Uważnie szukasz”.
— Jamesa Snooka
Co jest w logach?
Całkowita liczba połączeń
Wiele hostów podejmowało powtarzające się próby połączenia. Jest to normalne, ponieważ skrypty ataku mają pełną listę danych uwierzytelniających i wypróbowują kilka kombinacji. Cowrie Honeypot jest skonfigurowany tak, aby akceptował określone kombinacje nazwy użytkownika i hasła. Jest to skonfigurowane w plik user.db.
Geografia ataków
Korzystając z danych geolokalizacyjnych Maxmind, policzyłem liczbę połączeń z każdego kraju. Brazylia i Chiny przodują ze znaczną przewagą, a skanery pochodzące z tych krajów często powodują duży hałas.
Właściciel bloku sieciowego
Badanie właścicieli bloków sieciowych (ASN) pozwala zidentyfikować organizacje z dużą liczbą atakujących hostów. Oczywiście w takich przypadkach należy zawsze pamiętać, że wiele ataków pochodzi z zainfekowanych hostów. Rozsądnie jest założyć, że większość atakujących nie jest na tyle głupia, aby przeskanować sieć z komputera domowego.
Otwórz porty w systemach atakujących (dane z Shodan.io)
Uruchamianie listy adresów IP w sposób doskonały szybko identyfikuje systemy z otwartymi portami i jakie to są porty. Poniższy rysunek przedstawia koncentrację otwartych portów według kraju i organizacji. Możliwe byłoby zidentyfikowanie bloków zaatakowanych systemów, ale wewnątrz mała próbka nic wyjątkowego nie jest widoczne, z wyjątkiem dużej liczby 500 otwartych portów w Chinach.
Ciekawym odkryciem jest duża liczba systemów w Brazylii, które to posiadają nieczynne 22, 23 lub inne portywedług Censysa i Shodana. Najwyraźniej są to połączenia z komputerów użytkowników końcowych.
Boty? Niekoniecznie
Te dla portów 22 i 23 pokazali tego dnia coś dziwnego. Założyłem, że większość skanów i ataków na hasła pochodzi od botów. Skrypt rozprzestrzenia się po otwartych portach, zgadując hasła, kopiuje się z nowego systemu i kontynuuje rozprzestrzenianie się tą samą metodą.
Jednak tutaj widać, że tylko niewielka liczba hostów skanujących telnet ma otwarty na zewnątrz port 23. Oznacza to, że systemy zostały albo przejęte w inny sposób, albo napastnicy ręcznie uruchamiają skrypty.
Połączenia domowe
Kolejnym interesującym odkryciem była duża liczba użytkowników domowych w próbie. Używając wyszukiwanie wsteczne Zidentyfikowałem 105 połączeń z konkretnych komputerów domowych. W przypadku wielu połączeń domowych odwrotne wyszukiwanie DNS wyświetla nazwę hosta ze słowami dsl, home, kabel, światłowód i tak dalej.
Ucz się i odkrywaj: stwórz swój własny Honeypot
Niedawno napisałem krótki poradnik jak to zrobić . Jak już wspomniano, w naszym przypadku korzystaliśmy z Digital Ocean VPS w Singapurze. Za 24-godzinną analizę koszt wyniósł dosłownie kilka groszy, a czas montażu układu 30 minut.
Zamiast uruchamiać Cowrie w Internecie i wychwytywać cały hałas, możesz skorzystać z Honeypot w swojej sieci lokalnej. Ustawiaj stale powiadomienie, jeśli żądania zostaną wysłane do określonych portów. Jest to albo osoba atakująca w sieci, albo ciekawski pracownik, albo skanowanie podatności na zagrożenia.
odkrycia
Po przeanalizowaniu działań atakujących w ciągu XNUMX godzin staje się jasne, że niemożliwe jest zidentyfikowanie wyraźnego źródła ataków w jakiejkolwiek organizacji, kraju, a nawet systemie operacyjnym.
Szerokie rozmieszczenie źródeł pokazuje, że szum skanowania jest stały i nie jest powiązany z konkretnym źródłem. Każdy, kto pracuje w Internecie, musi zadbać o to, aby jego system kilka poziomów bezpieczeństwa. Powszechne i skuteczne rozwiązanie dla SSH usługa zostanie przeniesiona do losowego wysokiego portu. Nie eliminuje to konieczności ścisłej ochrony hasłem i monitorowania, ale przynajmniej zapewnia, że logi nie zostaną zatkane przez ciągłe skanowanie. Połączenia o dużej liczbie portów są bardziej podatne na ataki ukierunkowane, co może Cię zainteresować.
Często otwarte porty Telnet znajdują się na routerach lub innych urządzeniach, więc nie można ich łatwo przenieść do wyższego portu. и to jedyny sposób, aby upewnić się, że te usługi są zabezpieczone zaporą sieciową lub wyłączone. Jeśli to możliwe, nie powinieneś w ogóle korzystać z Telnetu, ponieważ ten protokół nie jest szyfrowany. Jeśli tego potrzebujesz i nie możesz się bez tego obejść, uważnie go monitoruj i używaj silnych haseł.
Źródło: www.habr.com