Štatistiky za 24 hodín po inštalácii honeypotu na uzol Digital Ocean v Singapure
Pew Pew! Začnime hneď s mapou útoku
Naša super cool mapa zobrazuje jedinečné ASN, ktoré sa pripojili k nášmu Cowrie honeypotu do 24 hodín. Žltá zodpovedá pripojeniam SSH a červená zodpovedá Telnetu. Takéto animácie často zapôsobia na predstavenstvo spoločnosti, čo môže pomôcť zabezpečiť viac financií na bezpečnosť a zdroje. Mapa však má určitú hodnotu, jasne ukazuje geografické a organizačné rozšírenie zdrojov útoku na nášho hostiteľa len za 24 hodín. Animácia neodráža množstvo návštevnosti z jednotlivých zdrojov.
Čo je mapa Pew Pew?
Pew Pew mapa - je
Vyrobené pomocou Leafletjs
Pre tých, ktorí chcú navrhnúť mapu útoku pre veľkú obrazovku v operačnom stredisku (vášmu šéfovi sa to bude páčiť), je tu knižnica
WTF: čo je to za medovník Cowrie?
Honeypot je systém, ktorý je umiestnený v sieti špeciálne na lákanie útočníkov. Pripojenia k systému sú zvyčajne nelegálne a umožňujú vám odhaliť útočníka pomocou podrobných protokolov. Protokoly ukladajú nielen informácie o pravidelnom pripojení, ale aj informácie o relácii, ktoré odhaľujú techniky, taktiky a postupy (TTP) votrelec.
Môj odkaz firmám, ktoré si myslia, že na nich nikto neútočí: „Tvrdo sa pozeráte.“
— James Snook
Čo je v denníkoch?
Celkový počet pripojení
Mnoho hostiteľov sa opakovane pokúšalo o pripojenie. Je to normálne, pretože útočné skripty majú úplný zoznam poverení a vyskúšajú niekoľko kombinácií. Cowrie Honeypot je nakonfigurovaný tak, aby akceptoval určité kombinácie používateľského mena a hesla. Toto je nakonfigurované v súbor user.db.
Geografia útokov
Pomocou geolokačných údajov Maxmind som spočítal počet spojení z jednotlivých krajín. Brazília a Čína vedú s veľkým náskokom a skenery prichádzajúce z týchto krajín často vydávajú veľa hluku.
Vlastník sieťového bloku
Prieskum vlastníkov sieťových blokov (ASN) môže identifikovať organizácie s veľkým počtom útočiacich hostiteľov. Samozrejme, v takýchto prípadoch by ste si mali vždy pamätať, že veľa útokov pochádza od infikovaných hostiteľov. Je rozumné predpokladať, že väčšina útočníkov nie je natoľko hlúpa, aby skenovala sieť z domáceho počítača.
Otvorené porty na útočiacich systémoch (údaje z Shodan.io)
Spustenie zoznamu IP cez vynikajúce
Zaujímavým nálezom je veľké množstvo systémov v Brazílii, ktoré majú neotvorené 22, 23 alebo iné porty, podľa Censys a Shodan. Zrejme ide o pripojenia z počítačov koncových používateľov.
roboti? Nie je to potrebné
Dáta
Tu však môžete vidieť, že len malý počet hostiteľov skenujúcich telnet má smerom von otvorený port 23. To znamená, že systémy sú buď kompromitované nejakým iným spôsobom, alebo útočníci spúšťajú skripty manuálne.
Domáce pripojenia
Ďalším zaujímavým zistením bol veľký počet domácich používateľov vo vzorke. Používaním spätné vyhľadávanie Identifikoval som 105 spojení z konkrétnych domácich počítačov. Pri mnohých domácich pripojeniach spätné vyhľadávanie DNS zobrazuje názov hostiteľa so slovami dsl, home, cable, fiber atď.
Učte sa a skúmajte: Vybudujte si svoj vlastný medovník
Nedávno som napísal krátky návod, ako na to
Namiesto toho, aby ste spustili Cowrie na internete a zachytávali všetok hluk, môžete ťažiť z honeypotu vo vašej lokálnej sieti. Neustále si nastavte upozornenie, ak sa na určité porty odosielajú požiadavky. Toto je buď útočník vo vnútri siete, zvedavý zamestnanec alebo skenovanie zraniteľnosti.
Závery
Po zhliadnutí akcií útočníkov v priebehu XNUMX hodín je jasné, že nie je možné identifikovať jasný zdroj útokov v žiadnej organizácii, krajine alebo dokonca operačnom systéme.
Široká distribúcia zdrojov ukazuje, že šum skenovania je konštantný a nesúvisí s konkrétnym zdrojom. Každý, kto pracuje na internete, musí zabezpečiť, aby jeho systém niekoľko úrovní zabezpečenia. Bežné a efektívne riešenie pre SSH služba sa presunie na náhodne vysoký port. Tým síce nie je eliminovaná potreba prísnej ochrany heslom a monitorovania, ale aspoň sa zabezpečí, že sa protokoly nezanesú neustálym skenovaním. Pri vysokoportových pripojeniach je väčšia pravdepodobnosť, že ide o cielené útoky, ktoré vás môžu zaujímať.
Otvorené telnet porty sú často na smerovačoch alebo iných zariadeniach, takže ich nemožno ľahko presunúť na vyšší port.
Zdroj: hab.com