Statistikat për 24 orë pas instalimit të një honeypot në një nyje të Oqeanit Dixhital në Singapor
Pew Pew! Le të fillojmë menjëherë me hartën e sulmit
Harta jonë super e lezetshme tregon ASN-të unike që u lidhën me honeypot-in tonë Cowrie brenda 24 orëve. E verdha korrespondon me lidhjet SSH, dhe e kuqja korrespondon me Telnet. Animacione të tilla shpesh i bëjnë përshtypje bordit të drejtorëve të kompanisë, gjë që mund të ndihmojë në sigurimin e më shumë fondeve për sigurinë dhe burimet. Sidoqoftë, harta ka njëfarë vlere, duke treguar qartë përhapjen gjeografike dhe organizative të burimeve të sulmit në hostin tonë në vetëm 24 orë. Animacioni nuk pasqyron sasinë e trafikut nga secili burim.
Çfarë është një hartë Pew Pew?
Harta e Pew Pew - A , zakonisht i animuar dhe shumë i bukur. Është një mënyrë fantastike për të shitur produktin tuaj, e përdorur në mënyrë famëkeqe nga Norse Corp. Kompania përfundoi keq: doli që animacionet e bukura ishin avantazhi i tyre i vetëm dhe ata përdorën të dhëna fragmentare për analiza.
Bërë me Leafletjs
Për ata që duan të hartojnë një hartë sulmi për ekranin e madh në qendrën e operacioneve (shefit tuaj do ta pëlqejë), ekziston një bibliotekë . Ne e kombinojmë atë me shtojcën , shërbimi Maxmind GeoIP - .
WTF: çfarë është ky honeypot Cowrie?
Honeypot është një sistem që vendoset në rrjet posaçërisht për të joshur sulmuesit. Lidhjet me sistemin janë zakonisht të paligjshme dhe ju lejojnë të zbuloni sulmuesin duke përdorur regjistrat e detajuar. Regjistrat ruajnë jo vetëm informacionin e rregullt të lidhjes, por edhe informacionin e sesionit që zbulon teknikat, taktikat dhe procedurat (TTP) ndërhyrës.
krijuar për Të dhënat e lidhjes SSH dhe Telnet. Të tilla honeypot shpesh vendosen në internet për të gjurmuar mjetet, skriptet dhe hostet e sulmuesve.
Mesazhi im për kompanitë që mendojnë se nuk do të sulmohen: "Ju po kërkoni shumë".
- James Snook
Çfarë ka në regjistrat?
Numri total i lidhjeve
Pati përpjekje të përsëritura për lidhje nga shumë host. Kjo është normale, pasi skriptet e sulmit kanë një listë të plotë të kredencialeve dhe provojnë disa kombinime. Cowrie Honeypot është konfiguruar për të pranuar disa kombinime të emrave të përdoruesit dhe fjalëkalimeve. Kjo është konfiguruar në skedari user.db.
Gjeografia e sulmeve
Duke përdorur të dhënat e vendndodhjes së Maxmind, unë numërova numrin e lidhjeve nga secili vend. Brazili dhe Kina kryesojnë me një diferencë të madhe dhe shpesh ka shumë zhurmë nga skanerët që vijnë nga këto vende.
Pronari i bllokut të rrjetit
Hulumtimi i pronarëve të blloqeve të rrjetit (ASN) mund të identifikojë organizatat me një numër të madh të hosteve sulmues. Sigurisht, në raste të tilla duhet të mbani mend gjithmonë se shumë sulme vijnë nga hostë të infektuar. Është e arsyeshme të supozohet se shumica e sulmuesve nuk janë aq budallenj sa të skanojnë Rrjetin nga një kompjuter shtëpiak.
Portet e hapura në sistemet sulmuese (të dhëna nga Shodan.io)
Drejtimi i listës së IP përmes shkëlqyeshëm identifikohet shpejt sisteme me porte të hapura dhe cilat janë këto porte? Figura më poshtë tregon përqendrimin e porteve të hapura sipas vendit dhe organizatës. Do të ishte e mundur të identifikoheshin blloqet e sistemeve të komprometuara, por brenda mostër e vogël asgjë e jashtëzakonshme nuk është e dukshme, përveç një numri të madh 500 porte të hapura në Kinë.
Një gjetje interesante është numri i madh i sistemeve në Brazil që kanë jo e hapur 22, 23 ose portet e tjera, sipas Censys dhe Shodan. Me sa duket këto janë lidhje nga kompjuterët e përdoruesve fundorë.
Bots? Jo e nevojshme
Të dhëna për portet 22 dhe 23 treguan diçka të çuditshme atë ditë. Supozova se shumica e skanimeve dhe sulmeve me fjalëkalim vijnë nga robotët. Skripti përhapet në porte të hapura, duke hamendësuar fjalëkalimet dhe kopjon veten nga sistemi i ri dhe vazhdon të përhapet duke përdorur të njëjtën metodë.
Por këtu mund të shihni se vetëm një numër i vogël i hosteve që skanojnë telnet kanë portin 23 të hapur nga jashtë. Kjo do të thotë që sistemet ose janë komprometuar në ndonjë mënyrë tjetër, ose sulmuesit po ekzekutojnë skriptet manualisht.
Lidhjet e shtëpisë
Një gjetje tjetër interesante ishte numri i madh i përdoruesve shtëpiak në kampion. Duke përdorur kërkim i kundërt Identifikova 105 lidhje nga kompjuterë të veçantë shtëpiak. Për shumë lidhje në shtëpi, një kërkim i kundërt DNS shfaq emrin e hostit me fjalët dsl, shtëpi, kabllo, fibër, etj.
Mësoni dhe Eksploroni: Ngrini Honeypot-in tuaj
Kohët e fundit kam shkruar një tutorial të shkurtër se si . Siç është përmendur tashmë, në rastin tonë kemi përdorur Digital Ocean VPS në Singapor. Për 24 orë analizë, kostoja ishte fjalë për fjalë disa cent, dhe koha për të montuar sistemin ishte 30 minuta.
Në vend që të përdorni Cowrie në internet dhe të kapni të gjithë zhurmën, mund të përfitoni nga honeypot në rrjetin tuaj lokal. Vendosni vazhdimisht një njoftim nëse kërkesat dërgohen në porte të caktuara. Ky është ose një sulmues brenda rrjetit, ose një punonjës kurioz, ose një skanim i cenueshmërisë.
Gjetjet
Pas shikimit të veprimeve të sulmuesve gjatë një periudhe XNUMX-orëshe, bëhet e qartë se është e pamundur të identifikohet një burim i qartë sulmesh në çdo organizatë, vend apo edhe sistem operativ.
Shpërndarja e gjerë e burimeve tregon se zhurma e skanimit është konstante dhe nuk shoqërohet me një burim specifik. Kushdo që punon në internet duhet të sigurojë që sistemi i tij disa nivele sigurie. Një zgjidhje e zakonshme dhe efektive për SSH shërbimi do të zhvendoset në një port të rastësishëm të lartë. Kjo nuk eliminon nevojën për mbrojtje të rreptë dhe monitorim me fjalëkalim, por të paktën siguron që regjistrat të mos bllokohen nga skanimi i vazhdueshëm. Lidhjet me port të lartë kanë më shumë gjasa të jenë sulme të synuara, të cilat mund të jenë me interes për ju.
Shpesh portat e hapura telnet janë në ruterë ose pajisje të tjera, kështu që ato nuk mund të zhvendosen lehtësisht në një port të lartë. и është mënyra e vetme për t'u siguruar që këto shërbime janë me mure zjarri ose çaktivizohen. Nëse është e mundur, nuk duhet të përdorni fare Telnet; ky protokoll nuk është i koduar. Nëse ju nevojitet dhe nuk mund të bëni pa të, atëherë monitoroni me kujdes dhe përdorni fjalëkalime të forta.
Burimi: www.habr.com