Statistici pentru 24 de ore după instalarea unui honeypot pe un nod Digital Ocean din Singapore
Pew Pew! Să începem imediat cu harta de atac
Harta noastră super cool arată ASN-urile unice care s-au conectat la honeypot-ul nostru Cowrie în 24 de ore. Galbenul corespunde conexiunilor SSH, iar roșu corespunde Telnet. Astfel de animații impresionează adesea consiliul de administrație al companiei, ceea ce poate ajuta la asigurarea mai multor finanțări pentru securitate și resurse. Cu toate acestea, harta are o anumită valoare, arătând clar răspândirea geografică și organizațională a surselor de atac asupra gazdei noastre în doar 24 de ore. Animația nu reflectă cantitatea de trafic din fiecare sursă.
Ce este o hartă Pew Pew?
Harta Pew Pew - E , de obicei animat și foarte frumos. Este un mod elegant de a vă vinde produsul, folosit în mod infam de către Norse Corp. Compania s-a terminat prost: s-a dovedit că animațiile frumoase erau singurul lor avantaj și au folosit date fragmentare pentru analiză.
Realizat cu Leafletjs
Pentru cei care doresc să proiecteze o hartă de atac pentru marele ecran din centrul de operațiuni (șeful tău o va adora), există o bibliotecă . Îl combinăm cu pluginul , serviciu Maxmind GeoIP - .
WTF: Ce este acest vas de miere Cowrie?
Honeypot este un sistem care este plasat în rețea special pentru a atrage atacatorii. Conexiunile la sistem sunt de obicei ilegale și vă permit să detectați atacatorul folosind jurnalele detaliate. Jurnalele stochează nu numai informații obișnuite de conectare, ci și informații despre sesiune care le dezvăluie tehnici, tactici și proceduri (TTP) intrus.
creat pentru Înregistrări de conexiune SSH și Telnet. Astfel de honeypots sunt adesea puse pe Internet pentru a urmări instrumentele, scripturile și gazdele atacatorilor.
Mesajul meu către companiile care cred că nu vor fi atacate: „Te uiți bine”.
— James Snook
Ce este în jurnale?
Numărul total de conexiuni
Au existat încercări repetate de conectare de la multe gazde. Acest lucru este normal, deoarece scripturile de atac au o listă completă de acreditări și încearcă mai multe combinații. Cowrie Honeypot este configurat să accepte anumite combinații de nume de utilizator și parolă. Acesta este configurat în fișier user.db.
Geografia atacurilor
Folosind datele de geolocalizare Maxmind, am numărat numărul de conexiuni din fiecare țară. Brazilia și China conduc cu o marjă largă și adesea se aude mult zgomot de la scanerele care vin din aceste țări.
Proprietarul blocului de rețea
Cercetarea proprietarilor de blocuri de rețea (ASN) poate identifica organizațiile cu un număr mare de gazde atacatoare. Desigur, în astfel de cazuri ar trebui să vă amintiți întotdeauna că multe atacuri provin de la gazde infectate. Este rezonabil să presupunem că majoritatea atacatorilor nu sunt suficient de proști pentru a scana rețeaua de pe un computer de acasă.
Deschideți porturi pe sistemele de atac (date de la Shodan.io)
Rularea listei de IP prin excelent identifică rapid sisteme cu porturi deschise si care sunt aceste porturi? Figura de mai jos arată concentrația de porturi deschise pe țară și organizație. Ar fi posibil să se identifice blocuri de sisteme compromise, dar în interior mostra mica nimic remarcabil nu este vizibil, cu excepția unui număr mare 500 de porturi deschise în China.
O descoperire interesantă este numărul mare de sisteme din Brazilia care au nu este deschis 22, 23 sau alte porturi, conform lui Censys și Shodan. Se pare că acestea sunt conexiuni de la computerele utilizatorilor finali.
Bots? Nu este necesar
De date pentru porturile 22 și 23 au arătat ceva ciudat în ziua aceea. Am presupus că majoritatea scanărilor și atacurilor cu parole vin de la roboți. Scriptul se răspândește peste porturi deschise, ghicește parole și se copiază singur din noul sistem și continuă să se răspândească folosind aceeași metodă.
Dar aici puteți vedea că doar un număr mic de gazde care scanează telnet au portul 23 deschis spre exterior, ceea ce înseamnă că sistemele fie sunt compromise în alt mod, fie atacatorii rulează manual scripturi.
Conexiuni la domiciliu
O altă constatare interesantă a fost numărul mare de utilizatori casnici din eșantion. Prin utilizarea căutare inversă Am identificat 105 conexiuni de la anumite computere de acasă. Pentru multe conexiuni la domiciliu, o căutare DNS inversă afișează numele gazdei cu cuvintele dsl, home, cablu, fibră și așa mai departe.
Învață și explorează: ridică-ți propriul vas de miere
Am scris recent un scurt tutorial despre cum . După cum am menționat deja, în cazul nostru am folosit Digital Ocean VPS în Singapore. Pentru 24 de ore de analiză, costul a fost literalmente de câțiva cenți, iar timpul de asamblare a sistemului a fost de 30 de minute.
În loc să rulați Cowrie pe internet și să captați tot zgomotul, puteți beneficia de honeypot în rețeaua locală. Setați în mod constant o notificare dacă solicitările sunt trimise către anumite porturi. Acesta este fie un atacator în interiorul rețelei, fie un angajat curios, fie o scanare a vulnerabilităților.
Constatări
După vizualizarea acțiunilor atacatorilor pe o perioadă de 24 de ore, devine clar că este imposibil să identifici o sursă clară de atacuri în orice organizație, țară sau chiar sistem de operare.
Distribuția largă a surselor arată că zgomotul de scanare este constant și nu este asociat cu o anumită sursă. Oricine lucrează pe internet trebuie să se asigure că sistemul său mai multe niveluri de securitate. O soluție comună și eficientă pentru SSH serviciul se va muta într-un port înalt aleatoriu. Acest lucru nu elimină nevoia de protecție și monitorizare strictă cu parolă, dar cel puțin asigură că jurnalele nu sunt înfundate prin scanare constantă. Conexiunile cu porturi mari au mai multe șanse să fie atacuri direcționate, care vă pot interesa.
Adesea, porturile telnet deschise sunt pe routere sau alte dispozitive, așa că nu pot fi mutate cu ușurință într-un port înalt. и este singura modalitate de a vă asigura că aceste servicii sunt protejate de firewall sau dezactivate. Dacă este posibil, nu ar trebui să utilizați deloc Telnet; acest protocol nu este criptat. Dacă aveți nevoie de el și nu vă puteți descurca fără el, monitorizați-l cu atenție și folosiți parole puternice.
Sursa: www.habr.com