Estatísticas de 24 horas após a instalação de um honeypot em um nó da Digital Ocean em Cingapura
Piu Piu! Vamos começar imediatamente com o mapa de ataque
Nosso mapa super legal mostra os ASNs exclusivos que se conectaram ao nosso honeypot Cowrie em 24 horas. Amarelo corresponde a conexões SSH e vermelho corresponde a Telnet. Essas animações costumam impressionar o conselho de administração da empresa, o que pode ajudar a garantir mais financiamento para segurança e recursos. No entanto, o mapa tem algum valor, mostrando claramente a distribuição geográfica e organizacional das fontes de ataque no nosso host em apenas 24 horas. A animação não reflete a quantidade de tráfego de cada origem.
O que é um mapa Pew Pew?
Pew Pew mapa - É
Feito com Leafletjs
Para quem deseja desenhar um mapa de ataque para a tela grande do centro de operações (seu chefe vai adorar), existe uma biblioteca
WTF: o que é esse honeypot Cowrie?
Honeypot é um sistema colocado na rede especificamente para atrair invasores. As conexões ao sistema geralmente são ilegais e permitem detectar o invasor usando registros detalhados. Os logs armazenam não apenas informações regulares de conexão, mas também informações de sessão que revelam técnicas, táticas e procedimentos (TTP) intruso.
Minha mensagem para as empresas que pensam que não serão atacadas: “Você está procurando com atenção”.
-James Snook
O que há nos registros?
Número total de conexões
Houve repetidas tentativas de conexão de muitos hosts. Isso é normal, pois os scripts de ataque possuem uma lista completa de credenciais e tentam diversas combinações. O Cowrie Honeypot está configurado para aceitar certas combinações de nome de usuário e senha. Isto está configurado em arquivo usuário.db.
Geografia dos ataques
Usando os dados de geolocalização da Maxmind, contei o número de conexões de cada país. O Brasil e a China lideram por uma ampla margem e muitas vezes há muito ruído proveniente de scanners vindos desses países.
Proprietário do bloco de rede
Pesquisar os proprietários de blocos de rede (ASN) pode identificar organizações com um grande número de hosts atacantes. É claro que, nesses casos, você deve sempre lembrar que muitos ataques vêm de hosts infectados. É razoável supor que a maioria dos invasores não é estúpida o suficiente para verificar a rede a partir de um computador doméstico.
Portas abertas em sistemas de ataque (dados de Shodan.io)
Executando a lista de IP através de excelente
Uma descoberta interessante é o grande número de sistemas no Brasil que possuem não abre 22, 23 ou outros portos, de acordo com Censys e Shodan. Aparentemente, essas são conexões de computadores de usuários finais.
Robôs? Não é necessário
Dados
Mas aqui você pode ver que apenas um pequeno número de hosts que escaneiam o telnet têm a porta 23 aberta para o exterior.Isso significa que os sistemas estão comprometidos de alguma outra forma ou os invasores estão executando scripts manualmente.
Conexões domésticas
Outro achado interessante foi o grande número de usuários domésticos na amostra. Usando pesquisa reversa Identifiquei 105 conexões de computadores domésticos específicos. Para muitas conexões domésticas, uma pesquisa reversa de DNS exibe o nome do host com as palavras dsl, home, cable, fiber e assim por diante.
Aprenda e explore: crie seu próprio honeypot
Recentemente escrevi um breve tutorial sobre como
Em vez de executar o Cowrie na Internet e captar todo o ruído, você pode se beneficiar do honeypot em sua rede local. Defina constantemente uma notificação se solicitações forem enviadas para determinadas portas. Este é um invasor dentro da rede, ou um funcionário curioso, ou uma verificação de vulnerabilidade.
Descobertas
Depois de visualizar as ações dos invasores durante um período de XNUMX horas, fica claro que é impossível identificar uma fonte clara de ataques em qualquer organização, país ou mesmo sistema operacional.
A ampla distribuição de fontes mostra que o ruído de varredura é constante e não está associado a uma fonte específica. Qualquer pessoa que trabalhe na Internet deve garantir que o seu sistema vários níveis de segurança. Uma solução comum e eficaz para SSH o serviço será movido para uma porta alta aleatória. Isso não elimina a necessidade de proteção e monitoramento rigorosos por senha, mas pelo menos garante que os logs não sejam obstruídos por verificações constantes. Conexões de portas altas têm maior probabilidade de serem ataques direcionados, o que pode ser do seu interesse.
Freqüentemente, as portas telnet abertas estão em roteadores ou outros dispositivos, portanto, não podem ser movidas facilmente para uma porta alta.
Fonte: habr.com