Statistikat për 24 orë pas instalimit të një honeypot në një nyje të Oqeanit Dixhital në Singapor
Pew Pew! Le të fillojmë menjëherë me hartën e sulmit
Harta jonë super e lezetshme tregon ASN-të unike që u lidhën me honeypot-in tonë Cowrie brenda 24 orëve. E verdha korrespondon me lidhjet SSH, dhe e kuqja korrespondon me Telnet. Animacione të tilla shpesh i bëjnë përshtypje bordit të drejtorëve të kompanisë, gjë që mund të ndihmojë në sigurimin e më shumë fondeve për sigurinë dhe burimet. Sidoqoftë, harta ka njëfarë vlere, duke treguar qartë përhapjen gjeografike dhe organizative të burimeve të sulmit në hostin tonë në vetëm 24 orë. Animacioni nuk pasqyron sasinë e trafikut nga secili burim.
Çfarë është një hartë Pew Pew?
Harta e Pew Pew - A
Bërë me Leafletjs
Për ata që duan të hartojnë një hartë sulmi për ekranin e madh në qendrën e operacioneve (shefit tuaj do ta pëlqejë), ekziston një bibliotekë
WTF: çfarë është ky honeypot Cowrie?
Honeypot është një sistem që vendoset në rrjet posaçërisht për të joshur sulmuesit. Lidhjet me sistemin janë zakonisht të paligjshme dhe ju lejojnë të zbuloni sulmuesin duke përdorur regjistrat e detajuar. Regjistrat ruajnë jo vetëm informacionin e rregullt të lidhjes, por edhe informacionin e sesionit që zbulon teknikat, taktikat dhe procedurat (TTP) ndërhyrës.
Mesazhi im për kompanitë që mendojnë se nuk do të sulmohen: "Ju po kërkoni shumë".
- James Snook
Çfarë ka në regjistrat?
Numri total i lidhjeve
Pati përpjekje të përsëritura për lidhje nga shumë host. Kjo është normale, pasi skriptet e sulmit kanë një listë të plotë të kredencialeve dhe provojnë disa kombinime. Cowrie Honeypot është konfiguruar për të pranuar disa kombinime të emrave të përdoruesit dhe fjalëkalimeve. Kjo është konfiguruar në skedari user.db.
Gjeografia e sulmeve
Duke përdorur të dhënat e vendndodhjes së Maxmind, unë numërova numrin e lidhjeve nga secili vend. Brazili dhe Kina kryesojnë me një diferencë të madhe dhe shpesh ka shumë zhurmë nga skanerët që vijnë nga këto vende.
Pronari i bllokut të rrjetit
Hulumtimi i pronarëve të blloqeve të rrjetit (ASN) mund të identifikojë organizatat me një numër të madh të hosteve sulmues. Sigurisht, në raste të tilla duhet të mbani mend gjithmonë se shumë sulme vijnë nga hostë të infektuar. Është e arsyeshme të supozohet se shumica e sulmuesve nuk janë aq budallenj sa të skanojnë Rrjetin nga një kompjuter shtëpiak.
Portet e hapura në sistemet sulmuese (të dhëna nga Shodan.io)
Drejtimi i listës së IP përmes shkëlqyeshëm
Një gjetje interesante është numri i madh i sistemeve në Brazil që kanë jo e hapur 22, 23 ose portet e tjera, sipas Censys dhe Shodan. Me sa duket këto janë lidhje nga kompjuterët e përdoruesve fundorë.
Bots? Jo e nevojshme
Të dhëna
Por këtu mund të shihni se vetëm një numër i vogël i hosteve që skanojnë telnet kanë portin 23 të hapur nga jashtë. Kjo do të thotë që sistemet ose janë komprometuar në ndonjë mënyrë tjetër, ose sulmuesit po ekzekutojnë skriptet manualisht.
Lidhjet e shtëpisë
Një gjetje tjetër interesante ishte numri i madh i përdoruesve shtëpiak në kampion. Duke përdorur kërkim i kundërt Identifikova 105 lidhje nga kompjuterë të veçantë shtëpiak. Për shumë lidhje në shtëpi, një kërkim i kundërt DNS shfaq emrin e hostit me fjalët dsl, shtëpi, kabllo, fibër, etj.
Mësoni dhe Eksploroni: Ngrini Honeypot-in tuaj
Kohët e fundit kam shkruar një tutorial të shkurtër se si
Në vend që të përdorni Cowrie në internet dhe të kapni të gjithë zhurmën, mund të përfitoni nga honeypot në rrjetin tuaj lokal. Vendosni vazhdimisht një njoftim nëse kërkesat dërgohen në porte të caktuara. Ky është ose një sulmues brenda rrjetit, ose një punonjës kurioz, ose një skanim i cenueshmërisë.
Gjetjet
Pas shikimit të veprimeve të sulmuesve gjatë një periudhe XNUMX-orëshe, bëhet e qartë se është e pamundur të identifikohet një burim i qartë sulmesh në çdo organizatë, vend apo edhe sistem operativ.
Shpërndarja e gjerë e burimeve tregon se zhurma e skanimit është konstante dhe nuk shoqërohet me një burim specifik. Kushdo që punon në internet duhet të sigurojë që sistemi i tij disa nivele sigurie. Një zgjidhje e zakonshme dhe efektive për SSH shërbimi do të zhvendoset në një port të rastësishëm të lartë. Kjo nuk eliminon nevojën për mbrojtje të rreptë dhe monitorim me fjalëkalim, por të paktën siguron që regjistrat të mos bllokohen nga skanimi i vazhdueshëm. Lidhjet me port të lartë kanë më shumë gjasa të jenë sulme të synuara, të cilat mund të jenë me interes për ju.
Shpesh portat e hapura telnet janë në ruterë ose pajisje të tjera, kështu që ato nuk mund të zhvendosen lehtësisht në një port të lartë.
Burimi: www.habr.com