Statistik pikeun 24 jam saatos masang honeypot dina titik Samudra Digital di Singapura
Pew Pew! Hayu urang mimitian langsung ku peta serangan
Peta super keren kami nunjukkeun ASN unik anu nyambung ka honeypot Cowrie kami dina 24 jam. Konéng pakait jeung sambungan SSH, sarta beureum pakait jeung Telnet. Animasi sapertos kitu sering ngingetkeun dewan direksi perusahaan, anu tiasa ngabantosan langkung seueur dana pikeun kaamanan sareng sumber. Nanging, peta gaduh sababaraha nilai, jelas nunjukkeun panyebaran geografis sareng organisasi sumber serangan dina host kami dina ngan 24 jam. animasi teu ngagambarkeun jumlah lalulintas ti unggal sumber.
Naon téh peta Pew Pew?
Peta Pew Pew - eta
Dijieun ku Leafletjs
Pikeun anu hoyong ngarancang peta serangan pikeun layar ageung di pusat operasi (bos anjeun bakal resep), aya perpustakaan.
WTF: naon ieu honeypot Cowrie?
Honeypot mangrupikeun sistem anu disimpen dina jaringan khusus pikeun mamingan panyerang. Sambungan ka sistem biasana haram sareng ngamungkinkeun anjeun ngadeteksi panyerang nganggo log anu lengkep. Log nyimpen teu ukur informasi sambungan biasa, tapi ogé informasi sési anu nembongkeun téhnik, taktik jeung prosedur (TTP) panyusup.
Pesen kuring ka perusahaan anu nganggap yén aranjeunna moal diserang: "Anjeun milarian sesah."
- James Snook
Naon dina log?
Jumlah total sambungan
Aya usaha sambungan ulang ti loba host. Ieu normal, sabab skrip serangan gaduh daptar lengkep ngeunaan kapercayaan sareng coba sababaraha kombinasi. The Cowrie Honeypot geus ngonpigurasi pikeun nampa ngaran pamaké sarta sandi kombinasi tangtu. Ieu dikonpigurasi dina file user.db.
Géografi serangan
Ngagunakeun data geolocation Maxmind, abdi diitung jumlah sambungan ti unggal nagara. Brazil jeung Cina dipingpin ku margin lega, sarta mindeng aya loba noise ti scanner datang ti nagara ieu.
Pamilik blok jaringan
Panaliti anu gaduh blok jaringan (ASN) tiasa ngaidentipikasi organisasi anu seueur host anu nyerang. Tangtosna, dina kasus sapertos kitu anjeun kedah émut yén seueur serangan asalna tina host anu kainféksi. Wajar pikeun nganggap yén kalolobaan panyerang henteu cukup bodo pikeun nyeken Jaringan tina komputer bumi.
Buka palabuhan dina sistem nyerang (data tina Shodan.io)
Ngajalankeun daptar IP ngaliwatan alus teuing
Hiji manggihan metot nyaéta angka nu gede ngarupakeun sistem di Brazil nu boga teu dibuka 22, 23 atawa palabuhan séjén, nurutkeun Censys na Shodan. Tétéla ieu sambungan ti komputer pamaké tungtung.
Bot? Teu perlu
data
Tapi di dieu anjeun bisa nempo yén ngan sajumlah leutik host scanning telnet boga port 23 kabuka ka luar. Ieu ngandung harti yén sistem boh compromised dina sababaraha cara sejen, atawa lawan ngajalankeun Aksara sacara manual.
sambungan imah
Pananjung metot séjén éta jumlah badag pamaké imah dina sampel. Ku ngagunakeun ngabalikeun lookup Kuring dicirikeun 105 sambungan tina komputer home husus. Pikeun seueur sambungan bumi, panéangan DNS ngabalikeun nunjukkeun nami host kalayan kecap dsl, bumi, kabel, serat, sareng sajabana.
Diajar sareng Jelajah: Angkat Honeypot Anjeun Sorangan
Kuring nembe nyerat tutorial pondok ngeunaan kumaha carana
Gantina ngajalankeun Cowrie di internet jeung nyekel sagala noise, Anjeun bisa kauntungan tina honeypot on jaringan lokal Anjeun. Setel bewara terus-terusan upami pamenta dikirim ka palabuhan anu tangtu. Ieu mangrupikeun panyerang dina jaringan, atanapi karyawan panasaran, atanapi scan kerentanan.
papanggihan
Saatos ningali tindakan panyerang salami XNUMX jam, janten jelas yén mustahil pikeun ngaidentipikasi sumber serangan anu jelas dina organisasi, nagara, atanapi sistem operasi.
Sebaran sumber anu lega nunjukkeun yén gangguan scan konstan sareng henteu aya hubunganana sareng sumber anu khusus. Saha waé anu damel di Internét kedah mastikeun yén sistemna sababaraha tingkat kaamanan. Hiji leyuran umum tur mujarab pikeun SSH jasa bakal ngalih ka port tinggi acak. Ieu henteu ngaleungitkeun kabutuhan panangtayungan sandi anu ketat sareng ngawaskeun, tapi sahenteuna mastikeun yén log henteu macét ku scanning konstan. Koneksi port tinggi leuwih gampang jadi sasaran serangan, nu bisa jadi dipikaresep ku anjeun.
Sering kabuka palabuhan telnet aya dina routers atawa alat sejen, ngarah teu bisa gampang dipindahkeun ka port tinggi.
sumber: www.habr.com