Štatistiky za 24 hodín po inštalácii honeypotu na uzol Digital Ocean v Singapure
Pew Pew! Začnime hneď s mapou útoku
Naša super cool mapa zobrazuje jedinečné ASN, ktoré sa pripojili k nášmu Cowrie honeypotu do 24 hodín. Žltá zodpovedá pripojeniam SSH a červená zodpovedá Telnetu. Takéto animácie často zapôsobia na predstavenstvo spoločnosti, čo môže pomôcť zabezpečiť viac financií na bezpečnosť a zdroje. Mapa však má určitú hodnotu, jasne ukazuje geografické a organizačné rozšírenie zdrojov útoku na nášho hostiteľa len za 24 hodín. Animácia neodráža množstvo návštevnosti z jednotlivých zdrojov.
Čo je mapa Pew Pew?
Pew Pew mapa - je , zvyčajne animované a veľmi krásne. Je to skvelý spôsob, ako predať svoj produkt, ktorý neslávne používa spoločnosť Norse Corp. Spoločnosť skončila zle: ukázalo sa, že ich jedinou výhodou boli krásne animácie a na analýzu použili fragmentárne údaje.
Vyrobené pomocou Leafletjs
Pre tých, ktorí chcú navrhnúť mapu útoku pre veľkú obrazovku v operačnom stredisku (vášmu šéfovi sa to bude páčiť), je tu knižnica . Skombinujeme to s pluginom , služba Maxmind GeoIP - .
WTF: čo je to za medovník Cowrie?
Honeypot je systém, ktorý je umiestnený v sieti špeciálne na lákanie útočníkov. Pripojenia k systému sú zvyčajne nelegálne a umožňujú vám odhaliť útočníka pomocou podrobných protokolov. Protokoly ukladajú nielen informácie o pravidelnom pripojení, ale aj informácie o relácii, ktoré odhaľujú techniky, taktiky a postupy (TTP) votrelec.
vytvorené pre Záznamy pripojenia SSH a Telnet. Takéto honeypoty sa často umiestňujú na internet na sledovanie nástrojov, skriptov a hostiteľov útočníkov.
Môj odkaz firmám, ktoré si myslia, že na nich nikto neútočí: „Tvrdo sa pozeráte.“
— James Snook
Čo je v denníkoch?
Celkový počet pripojení
Mnoho hostiteľov sa opakovane pokúšalo o pripojenie. Je to normálne, pretože útočné skripty majú úplný zoznam poverení a vyskúšajú niekoľko kombinácií. Cowrie Honeypot je nakonfigurovaný tak, aby akceptoval určité kombinácie používateľského mena a hesla. Toto je nakonfigurované v súbor user.db.
Geografia útokov
Pomocou geolokačných údajov Maxmind som spočítal počet spojení z jednotlivých krajín. Brazília a Čína vedú s veľkým náskokom a skenery prichádzajúce z týchto krajín často vydávajú veľa hluku.
Vlastník sieťového bloku
Prieskum vlastníkov sieťových blokov (ASN) môže identifikovať organizácie s veľkým počtom útočiacich hostiteľov. Samozrejme, v takýchto prípadoch by ste si mali vždy pamätať, že veľa útokov pochádza od infikovaných hostiteľov. Je rozumné predpokladať, že väčšina útočníkov nie je natoľko hlúpa, aby skenovala sieť z domáceho počítača.
Otvorené porty na útočiacich systémoch (údaje z Shodan.io)
Spustenie zoznamu IP cez vynikajúce rýchlo identifikuje systémy s otvorenými portami a co su to za porty? Na obrázku nižšie je znázornená koncentrácia otvorených prístavov podľa krajiny a organizácie. Bolo by možné identifikovať bloky kompromitovaných systémov, ale v rámci malá vzorka okrem veľkého počtu nie je vidieť nič výnimočné 500 otvorených prístavov v Číne.
Zaujímavým nálezom je veľké množstvo systémov v Brazílii, ktoré majú neotvorené 22, 23 alebo iné porty, podľa Censys a Shodan. Zrejme ide o pripojenia z počítačov koncových používateľov.
roboti? Nie je to potrebné
Dáta pre porty 22 a 23 ukázali v ten deň niečo zvláštne. Predpokladal som, že väčšina skenov a útokov na heslá pochádza od robotov. Skript sa šíri cez otvorené porty, háda heslá a skopíruje sa z nového systému a pokračuje v šírení pomocou rovnakej metódy.
Tu však môžete vidieť, že len malý počet hostiteľov skenujúcich telnet má smerom von otvorený port 23. To znamená, že systémy sú buď kompromitované nejakým iným spôsobom, alebo útočníci spúšťajú skripty manuálne.
Domáce pripojenia
Ďalším zaujímavým zistením bol veľký počet domácich používateľov vo vzorke. Používaním spätné vyhľadávanie Identifikoval som 105 spojení z konkrétnych domácich počítačov. Pri mnohých domácich pripojeniach spätné vyhľadávanie DNS zobrazuje názov hostiteľa so slovami dsl, home, cable, fiber atď.
Učte sa a skúmajte: Vybudujte si svoj vlastný medovník
Nedávno som napísal krátky návod, ako na to . Ako už bolo spomenuté, v našom prípade sme použili Digital Ocean VPS v Singapure. Náklady na 24 hodín analýzy boli doslova niekoľko centov a čas na zostavenie systému bol 30 minút.
Namiesto toho, aby ste spustili Cowrie na internete a zachytávali všetok hluk, môžete ťažiť z honeypotu vo vašej lokálnej sieti. Neustále si nastavte upozornenie, ak sa na určité porty odosielajú požiadavky. Toto je buď útočník vo vnútri siete, zvedavý zamestnanec alebo skenovanie zraniteľnosti.
Závery
Po zhliadnutí akcií útočníkov v priebehu XNUMX hodín je jasné, že nie je možné identifikovať jasný zdroj útokov v žiadnej organizácii, krajine alebo dokonca operačnom systéme.
Široká distribúcia zdrojov ukazuje, že šum skenovania je konštantný a nesúvisí s konkrétnym zdrojom. Každý, kto pracuje na internete, musí zabezpečiť, aby jeho systém niekoľko úrovní zabezpečenia. Bežné a efektívne riešenie pre SSH služba sa presunie na náhodne vysoký port. Tým síce nie je eliminovaná potreba prísnej ochrany heslom a monitorovania, ale aspoň sa zabezpečí, že sa protokoly nezanesú neustálym skenovaním. Pri vysokoportových pripojeniach je väčšia pravdepodobnosť, že ide o cielené útoky, ktoré vás môžu zaujímať.
Otvorené telnet porty sú často na smerovačoch alebo iných zariadeniach, takže ich nemožno ľahko presunúť na vyšší port. и je jediný spôsob, ako zabezpečiť, aby tieto služby boli chránené bránou firewall alebo boli zakázané. Ak je to možné, nemali by ste Telnet vôbec používať, tento protokol nie je šifrovaný. Ak ho potrebujete a nemôžete sa bez neho zaobísť, pozorne ho sledujte a používajte silné heslá.
Zdroj: hab.com