Statistik pikeun 24 jam saatos masang honeypot dina titik Samudra Digital di Singapura
Pew Pew! Hayu urang mimitian langsung ku peta serangan
Peta super keren kami nunjukkeun ASN unik anu nyambung ka honeypot Cowrie kami dina 24 jam. Konéng pakait jeung sambungan SSH, sarta beureum pakait jeung Telnet. Animasi sapertos kitu sering ngingetkeun dewan direksi perusahaan, anu tiasa ngabantosan langkung seueur dana pikeun kaamanan sareng sumber. Nanging, peta gaduh sababaraha nilai, jelas nunjukkeun panyebaran geografis sareng organisasi sumber serangan dina host kami dina ngan 24 jam. animasi teu ngagambarkeun jumlah lalulintas ti unggal sumber.
Naon téh peta Pew Pew?
Peta Pew Pew - eta , biasana animasi sareng geulis pisan. Ieu cara fancy pikeun ngajual produk Anjeun, infamously dipaké ku Norse Corp. Perusahaan réngsé parah: tétéla yén animasi anu éndah mangrupikeun hiji-hijina kauntungan, sareng aranjeunna ngagunakeun data fragmén pikeun analisa.
Dijieun ku Leafletjs
Pikeun anu hoyong ngarancang peta serangan pikeun layar ageung di pusat operasi (bos anjeun bakal resep), aya perpustakaan. . Urang ngagabungkeun deui jeung plugin nu , jasa Maxmind GeoIP - .
WTF: naon ieu honeypot Cowrie?
Honeypot mangrupikeun sistem anu disimpen dina jaringan khusus pikeun mamingan panyerang. Sambungan ka sistem biasana haram sareng ngamungkinkeun anjeun ngadeteksi panyerang nganggo log anu lengkep. Log nyimpen teu ukur informasi sambungan biasa, tapi ogé informasi sési anu nembongkeun téhnik, taktik jeung prosedur (TTP) panyusup.
diciptakeun pikeun SSH sareng rékaman sambungan Telnet. Honeypots sapertos sering dipasang dina Internét pikeun ngalacak alat, naskah sareng host panyerang.
Pesen kuring ka perusahaan anu nganggap yén aranjeunna moal diserang: "Anjeun milarian sesah."
- James Snook
Naon dina log?
Jumlah total sambungan
Aya usaha sambungan ulang ti loba host. Ieu normal, sabab skrip serangan gaduh daptar lengkep ngeunaan kapercayaan sareng coba sababaraha kombinasi. The Cowrie Honeypot geus ngonpigurasi pikeun nampa ngaran pamaké sarta sandi kombinasi tangtu. Ieu dikonpigurasi dina file user.db.
Géografi serangan
Ngagunakeun data geolocation Maxmind, abdi diitung jumlah sambungan ti unggal nagara. Brazil jeung Cina dipingpin ku margin lega, sarta mindeng aya loba noise ti scanner datang ti nagara ieu.
Pamilik blok jaringan
Panaliti anu gaduh blok jaringan (ASN) tiasa ngaidentipikasi organisasi anu seueur host anu nyerang. Tangtosna, dina kasus sapertos kitu anjeun kedah émut yén seueur serangan asalna tina host anu kainféksi. Wajar pikeun nganggap yén kalolobaan panyerang henteu cukup bodo pikeun nyeken Jaringan tina komputer bumi.
Buka palabuhan dina sistem nyerang (data tina Shodan.io)
Ngajalankeun daptar IP ngaliwatan alus teuing gancang ngaidentipikasi sistem kalawan palabuhan kabuka sarta naon palabuhan ieu? Gambar di handap ieu nunjukkeun konsentrasi palabuhan kabuka dumasar nagara sareng organisasi. Ieu bakal mungkin pikeun ngaidentipikasi blok sistem compromised, tapi dina sampel leutik euweuh beredar katempo, iwal jumlah badag 500 palabuhan kabuka di Cina.
Hiji manggihan metot nyaéta angka nu gede ngarupakeun sistem di Brazil nu boga teu dibuka 22, 23 atawa palabuhan séjén, nurutkeun Censys na Shodan. Tétéla ieu sambungan ti komputer pamaké tungtung.
Bot? Teu perlu
data pikeun palabuhan 22 jeung 23 aranjeunna némbongkeun hal aneh dinten éta. Kuring nganggap yén kalolobaan scan sareng serangan sandi asalna tina bot. Skrip nyebarkeun ngaliwatan palabuhan kabuka, guessing kecap akses, sarta salinan sorangan tina sistem anyar jeung terus nyebarkeun ngagunakeun métode anu sarua.
Tapi di dieu anjeun bisa nempo yén ngan sajumlah leutik host scanning telnet boga port 23 kabuka ka luar. Ieu ngandung harti yén sistem boh compromised dina sababaraha cara sejen, atawa lawan ngajalankeun Aksara sacara manual.
sambungan imah
Pananjung metot séjén éta jumlah badag pamaké imah dina sampel. Ku ngagunakeun ngabalikeun lookup Kuring dicirikeun 105 sambungan tina komputer home husus. Pikeun seueur sambungan bumi, panéangan DNS ngabalikeun nunjukkeun nami host kalayan kecap dsl, bumi, kabel, serat, sareng sajabana.
Diajar sareng Jelajah: Angkat Honeypot Anjeun Sorangan
Kuring nembe nyerat tutorial pondok ngeunaan kumaha carana . Sakumaha anu parantos disebatkeun, dina hal urang kami nganggo Digital Ocean VPS di Singapura. Pikeun 24 jam analisa, biaya sacara harfiah sababaraha cents, sareng waktos ngumpul sistem éta 30 menit.
Gantina ngajalankeun Cowrie di internet jeung nyekel sagala noise, Anjeun bisa kauntungan tina honeypot on jaringan lokal Anjeun. Setel bewara terus-terusan upami pamenta dikirim ka palabuhan anu tangtu. Ieu mangrupikeun panyerang dina jaringan, atanapi karyawan panasaran, atanapi scan kerentanan.
papanggihan
Saatos ningali tindakan panyerang salami XNUMX jam, janten jelas yén mustahil pikeun ngaidentipikasi sumber serangan anu jelas dina organisasi, nagara, atanapi sistem operasi.
Sebaran sumber anu lega nunjukkeun yén gangguan scan konstan sareng henteu aya hubunganana sareng sumber anu khusus. Saha waé anu damel di Internét kedah mastikeun yén sistemna sababaraha tingkat kaamanan. Hiji leyuran umum tur mujarab pikeun SSH jasa bakal ngalih ka port tinggi acak. Ieu henteu ngaleungitkeun kabutuhan panangtayungan sandi anu ketat sareng ngawaskeun, tapi sahenteuna mastikeun yén log henteu macét ku scanning konstan. Koneksi port tinggi leuwih gampang jadi sasaran serangan, nu bisa jadi dipikaresep ku anjeun.
Sering kabuka palabuhan telnet aya dina routers atawa alat sejen, ngarah teu bisa gampang dipindahkeun ka port tinggi. и mangrupa hiji-hijina jalan pikeun mastikeun yén jasa ieu firewalled atawa ditumpurkeun. Upami mungkin, anjeun henteu kedah nganggo Telnet sadayana; protokol ieu henteu énkripsi. Upami anjeun peryogina sareng henteu tiasa ngalakukeun tanpa éta, teras-terasan ngawas éta sareng nganggo kecap konci anu kuat.
sumber: www.habr.com