Statistici pentru 24 de ore după instalarea unui honeypot pe un nod Digital Ocean din Singapore
Pew Pew! Să începem imediat cu harta de atac
Harta noastră super cool arată ASN-urile unice care s-au conectat la honeypot-ul nostru Cowrie în 24 de ore. Galbenul corespunde conexiunilor SSH, iar roșu corespunde Telnet. Astfel de animații impresionează adesea consiliul de administrație al companiei, ceea ce poate ajuta la asigurarea mai multor finanțări pentru securitate și resurse. Cu toate acestea, harta are o anumită valoare, arătând clar răspândirea geografică și organizațională a surselor de atac asupra gazdei noastre în doar 24 de ore. Animația nu reflectă cantitatea de trafic din fiecare sursă.
Ce este o hartă Pew Pew?
Harta Pew Pew - E
Realizat cu Leafletjs
Pentru cei care doresc să proiecteze o hartă de atac pentru marele ecran din centrul de operațiuni (șeful tău o va adora), există o bibliotecă
WTF: Ce este acest vas de miere Cowrie?
Honeypot este un sistem care este plasat în rețea special pentru a atrage atacatorii. Conexiunile la sistem sunt de obicei ilegale și vă permit să detectați atacatorul folosind jurnalele detaliate. Jurnalele stochează nu numai informații obișnuite de conectare, ci și informații despre sesiune care le dezvăluie tehnici, tactici și proceduri (TTP) intrus.
Mesajul meu către companiile care cred că nu vor fi atacate: „Te uiți bine”.
— James Snook
Ce este în jurnale?
Numărul total de conexiuni
Au existat încercări repetate de conectare de la multe gazde. Acest lucru este normal, deoarece scripturile de atac au o listă completă de acreditări și încearcă mai multe combinații. Cowrie Honeypot este configurat să accepte anumite combinații de nume de utilizator și parolă. Acesta este configurat în fișier user.db.
Geografia atacurilor
Folosind datele de geolocalizare Maxmind, am numărat numărul de conexiuni din fiecare țară. Brazilia și China conduc cu o marjă largă și adesea se aude mult zgomot de la scanerele care vin din aceste țări.
Proprietarul blocului de rețea
Cercetarea proprietarilor de blocuri de rețea (ASN) poate identifica organizațiile cu un număr mare de gazde atacatoare. Desigur, în astfel de cazuri ar trebui să vă amintiți întotdeauna că multe atacuri provin de la gazde infectate. Este rezonabil să presupunem că majoritatea atacatorilor nu sunt suficient de proști pentru a scana rețeaua de pe un computer de acasă.
Deschideți porturi pe sistemele de atac (date de la Shodan.io)
Rularea listei de IP prin excelent
O descoperire interesantă este numărul mare de sisteme din Brazilia care au nu este deschis 22, 23 sau alte porturi, conform lui Censys și Shodan. Se pare că acestea sunt conexiuni de la computerele utilizatorilor finali.
Bots? Nu este necesar
De date
Dar aici puteți vedea că doar un număr mic de gazde care scanează telnet au portul 23 deschis spre exterior, ceea ce înseamnă că sistemele fie sunt compromise în alt mod, fie atacatorii rulează manual scripturi.
Conexiuni la domiciliu
O altă constatare interesantă a fost numărul mare de utilizatori casnici din eșantion. Prin utilizarea căutare inversă Am identificat 105 conexiuni de la anumite computere de acasă. Pentru multe conexiuni la domiciliu, o căutare DNS inversă afișează numele gazdei cu cuvintele dsl, home, cablu, fibră și așa mai departe.
Învață și explorează: ridică-ți propriul vas de miere
Am scris recent un scurt tutorial despre cum
În loc să rulați Cowrie pe internet și să captați tot zgomotul, puteți beneficia de honeypot în rețeaua locală. Setați în mod constant o notificare dacă solicitările sunt trimise către anumite porturi. Acesta este fie un atacator în interiorul rețelei, fie un angajat curios, fie o scanare a vulnerabilităților.
Constatări
După vizualizarea acțiunilor atacatorilor pe o perioadă de 24 de ore, devine clar că este imposibil să identifici o sursă clară de atacuri în orice organizație, țară sau chiar sistem de operare.
Distribuția largă a surselor arată că zgomotul de scanare este constant și nu este asociat cu o anumită sursă. Oricine lucrează pe internet trebuie să se asigure că sistemul său mai multe niveluri de securitate. O soluție comună și eficientă pentru SSH serviciul se va muta într-un port înalt aleatoriu. Acest lucru nu elimină nevoia de protecție și monitorizare strictă cu parolă, dar cel puțin asigură că jurnalele nu sunt înfundate prin scanare constantă. Conexiunile cu porturi mari au mai multe șanse să fie atacuri direcționate, care vă pot interesa.
Adesea, porturile telnet deschise sunt pe routere sau alte dispozitive, așa că nu pot fi mutate cu ușurință într-un port înalt.
Sursa: www.habr.com