Takwimu za saa 24 baada ya kusakinisha chungu cha asali kwenye nodi ya Bahari ya Dijiti nchini Singapore
Pew Pew! Hebu tuanze mara moja na ramani ya mashambulizi
Ramani yetu nzuri sana inaonyesha ASN za kipekee ambazo ziliunganishwa kwenye honeypot yetu ya Cowrie ndani ya saa 24. Njano inalingana na miunganisho ya SSH, na nyekundu inalingana na Telnet. Uhuishaji kama huo mara nyingi huvutia bodi ya wakurugenzi ya kampuni, ambayo inaweza kusaidia kupata ufadhili zaidi wa usalama na rasilimali. Hata hivyo, ramani ina thamani fulani, inayoonyesha kwa uwazi kuenea kwa kijiografia na shirika la vyanzo vya mashambulizi kwa mwenyeji wetu katika saa 24 pekee. Uhuishaji hauakisi kiasi cha trafiki kutoka kwa kila chanzo.
Ramani ya Pew Pew ni nini?
Ramani ya Pew Pew - Je,
Imetengenezwa na Leafletjs
Kwa wale wanaotaka kuunda ramani ya mashambulizi ya skrini kubwa kwenye kituo cha uendeshaji (bosi wako ataipenda), kuna maktaba.
WTF: Chungu cha asali cha Cowrie ni nini?
Honeypot ni mfumo ambao umewekwa kwenye mtandao mahsusi ili kuwarubuni washambuliaji. Viunganisho kwenye mfumo kawaida sio halali na hukuruhusu kugundua mvamizi kwa kutumia kumbukumbu za kina. Kumbukumbu huhifadhi sio tu habari za kawaida za uunganisho, lakini pia taarifa za kikao zinazofunua mbinu, mbinu na taratibu (TTP) mvamizi.
Ujumbe wangu kwa makampuni ambao wanadhani hawatashambuliwa: "Unaangalia sana."
- James Snook
Ni nini kwenye magogo?
Jumla ya idadi ya miunganisho
Kulikuwa na majaribio ya mara kwa mara ya kuunganisha kutoka kwa wapangishi wengi. Hii ni kawaida, kwa kuwa hati za mashambulizi zina orodha kamili ya sifa na jaribu mchanganyiko kadhaa. Cowrie Honeypot imesanidiwa kukubali mchanganyiko fulani wa jina la mtumiaji na nenosiri. Hii imesanidiwa katika user.db faili.
Jiografia ya mashambulizi
Kwa kutumia data ya eneo la Maxmind, nilihesabu idadi ya viunganisho kutoka kwa kila nchi. Brazili na Uchina zinaongoza kwa tofauti kubwa, na mara nyingi kuna kelele nyingi kutoka kwa skana kutoka nchi hizi.
Mmiliki wa kizuizi cha mtandao
Kutafiti wamiliki wa vizuizi vya mtandao (ASN) kunaweza kutambua mashirika yenye idadi kubwa ya wapangishi wanaoshambulia. Bila shaka, katika hali hiyo unapaswa kukumbuka daima kwamba mashambulizi mengi yanatoka kwa majeshi yaliyoambukizwa. Ni busara kudhani kuwa washambuliaji wengi sio wajinga vya kutosha kuchanganua Mtandao kutoka kwa kompyuta ya nyumbani.
Fungua bandari kwenye mifumo ya kushambulia (data kutoka Shodan.io)
Kuendesha orodha ya IP kupitia bora
Jambo la kufurahisha ni idadi kubwa ya mifumo nchini Brazili ambayo ina haijafunguliwa 22, 23 au bandari zingine, kulingana na Censs na Shodan. Inaonekana haya ni miunganisho kutoka kwa kompyuta za watumiaji wa mwisho.
Boti? Si lazima
Data
Lakini hapa unaweza kuona kwamba ni idadi ndogo tu ya wapangishi wanaochanganua telnet walio na mlango wa 23 wazi kuelekea nje. Hii ina maana kwamba mifumo imeingiliwa kwa njia nyingine, au washambuliaji wanaendesha hati wenyewe.
Viunganisho vya nyumbani
Ugunduzi mwingine wa kuvutia ulikuwa idadi kubwa ya watumiaji wa nyumbani kwenye sampuli. Kwa kutumia kuangalia nyuma Nilitambua miunganisho 105 kutoka kwa kompyuta maalum za nyumbani. Kwa miunganisho mingi ya nyumbani, utafutaji wa DNS wa kinyume unaonyesha jina la mpangishaji na maneno dsl, nyumbani, kebo, nyuzi, na kadhalika.
Jifunze na Uchunguze: Inua chungu chako cha Asali
Hivi majuzi niliandika mafunzo mafupi juu ya jinsi ya kufanya
Badala ya kuendesha Cowrie kwenye mtandao na kupata kelele zote, unaweza kufaidika na asali kwenye mtandao wako wa ndani. Weka arifa kila wakati ikiwa maombi yanatumwa kwa bandari fulani. Huyu ni mvamizi ndani ya mtandao, au mfanyakazi mwenye shauku ya kutaka kujua, au uchunguzi wa uwezekano wa kuathiriwa.
Matokeo
Baada ya kutazama vitendo vya washambuliaji kwa muda wa saa XNUMX, inakuwa wazi kuwa haiwezekani kutambua chanzo wazi cha mashambulizi katika shirika lolote, nchi, au hata mfumo wa uendeshaji.
Usambazaji mpana wa vyanzo unaonyesha kuwa kelele ya skanisho ni ya mara kwa mara na haihusiani na chanzo maalum. Mtu yeyote anayefanya kazi kwenye mtandao lazima ahakikishe kuwa mfumo wao viwango kadhaa vya usalama. Suluhisho la kawaida na la ufanisi kwa SSH huduma itahamia kwenye bandari ya juu bila mpangilio. Hii haiondoi hitaji la ulinzi mkali wa nenosiri na ufuatiliaji, lakini angalau inahakikisha kuwa kumbukumbu hazijafungwa na skanning mara kwa mara. Miunganisho ya bandari ya juu ina uwezekano mkubwa wa kuwa na mashambulizi yanayolengwa, ambayo yanaweza kukuvutia.
Mara nyingi bandari za telnet zilizo wazi ziko kwenye vipanga njia au vifaa vingine, kwa hivyo haziwezi kuhamishwa kwa urahisi hadi kwenye mlango wa juu.
Chanzo: mapenzi.com