Takwimu za saa 24 baada ya kusakinisha chungu cha asali kwenye nodi ya Bahari ya Dijiti nchini Singapore
Pew Pew! Hebu tuanze mara moja na ramani ya mashambulizi
Ramani yetu nzuri sana inaonyesha ASN za kipekee ambazo ziliunganishwa kwenye honeypot yetu ya Cowrie ndani ya saa 24. Njano inalingana na miunganisho ya SSH, na nyekundu inalingana na Telnet. Uhuishaji kama huo mara nyingi huvutia bodi ya wakurugenzi ya kampuni, ambayo inaweza kusaidia kupata ufadhili zaidi wa usalama na rasilimali. Hata hivyo, ramani ina thamani fulani, inayoonyesha kwa uwazi kuenea kwa kijiografia na shirika la vyanzo vya mashambulizi kwa mwenyeji wetu katika saa 24 pekee. Uhuishaji hauakisi kiasi cha trafiki kutoka kwa kila chanzo.
Ramani ya Pew Pew ni nini?
Ramani ya Pew Pew - Je, , kwa kawaida huhuishwa na nzuri sana. Ni njia nzuri ya kuuza bidhaa yako, inayotumiwa vibaya na Norse Corp. Kampuni iliisha vibaya: ikawa kwamba uhuishaji mzuri ulikuwa faida yao pekee, na walitumia data ya vipande kwa uchambuzi.
Imetengenezwa na Leafletjs
Kwa wale wanaotaka kuunda ramani ya mashambulizi ya skrini kubwa kwenye kituo cha uendeshaji (bosi wako ataipenda), kuna maktaba. . Tunachanganya na programu-jalizi , huduma ya Maxmind GeoIP - .
WTF: Chungu cha asali cha Cowrie ni nini?
Honeypot ni mfumo ambao umewekwa kwenye mtandao mahsusi ili kuwarubuni washambuliaji. Viunganisho kwenye mfumo kawaida sio halali na hukuruhusu kugundua mvamizi kwa kutumia kumbukumbu za kina. Kumbukumbu huhifadhi sio tu habari za kawaida za uunganisho, lakini pia taarifa za kikao zinazofunua mbinu, mbinu na taratibu (TTP) mvamizi.
iliyokusudiwa Rekodi za unganisho za SSH na Telnet. Vipu vya asali vile mara nyingi huwekwa kwenye mtandao ili kufuatilia zana, maandiko na majeshi ya washambuliaji.
Ujumbe wangu kwa makampuni ambao wanadhani hawatashambuliwa: "Unaangalia sana."
- James Snook
Ni nini kwenye magogo?
Jumla ya idadi ya miunganisho
Kulikuwa na majaribio ya mara kwa mara ya kuunganisha kutoka kwa wapangishi wengi. Hii ni kawaida, kwa kuwa hati za mashambulizi zina orodha kamili ya sifa na jaribu mchanganyiko kadhaa. Cowrie Honeypot imesanidiwa kukubali mchanganyiko fulani wa jina la mtumiaji na nenosiri. Hii imesanidiwa katika user.db faili.
Jiografia ya mashambulizi
Kwa kutumia data ya eneo la Maxmind, nilihesabu idadi ya viunganisho kutoka kwa kila nchi. Brazili na Uchina zinaongoza kwa tofauti kubwa, na mara nyingi kuna kelele nyingi kutoka kwa skana kutoka nchi hizi.
Mmiliki wa kizuizi cha mtandao
Kutafiti wamiliki wa vizuizi vya mtandao (ASN) kunaweza kutambua mashirika yenye idadi kubwa ya wapangishi wanaoshambulia. Bila shaka, katika hali hiyo unapaswa kukumbuka daima kwamba mashambulizi mengi yanatoka kwa majeshi yaliyoambukizwa. Ni busara kudhani kuwa washambuliaji wengi sio wajinga vya kutosha kuchanganua Mtandao kutoka kwa kompyuta ya nyumbani.
Fungua bandari kwenye mifumo ya kushambulia (data kutoka Shodan.io)
Kuendesha orodha ya IP kupitia bora haraka kutambua mifumo iliyo na bandari wazi na hizi bandari ni zipi? Kielelezo hapa chini kinaonyesha mkusanyiko wa bandari wazi kulingana na nchi na shirika. Itawezekana kutambua vitalu vya mifumo iliyoathiriwa, lakini ndani sampuli ndogo hakuna kitu bora kinachoonekana, isipokuwa kwa idadi kubwa 500 bandari wazi nchini China.
Jambo la kufurahisha ni idadi kubwa ya mifumo nchini Brazili ambayo ina haijafunguliwa 22, 23 au bandari zingine, kulingana na Censs na Shodan. Inaonekana haya ni miunganisho kutoka kwa kompyuta za watumiaji wa mwisho.
Boti? Si lazima
Data kwa bandari 22 na 23 walionyesha kitu cha ajabu siku hiyo. Nilidhani kuwa skanning nyingi na mashambulizi ya nenosiri hutoka kwa roboti. Hati huenea kwenye milango iliyo wazi, kubahatisha manenosiri, na kujinakili kutoka kwa mfumo mpya na inaendelea kuenea kwa kutumia mbinu hiyo hiyo.
Lakini hapa unaweza kuona kwamba ni idadi ndogo tu ya wapangishi wanaochanganua telnet walio na mlango wa 23 wazi kuelekea nje. Hii ina maana kwamba mifumo imeingiliwa kwa njia nyingine, au washambuliaji wanaendesha hati wenyewe.
Viunganisho vya nyumbani
Ugunduzi mwingine wa kuvutia ulikuwa idadi kubwa ya watumiaji wa nyumbani kwenye sampuli. Kwa kutumia kuangalia nyuma Nilitambua miunganisho 105 kutoka kwa kompyuta maalum za nyumbani. Kwa miunganisho mingi ya nyumbani, utafutaji wa DNS wa kinyume unaonyesha jina la mpangishaji na maneno dsl, nyumbani, kebo, nyuzi, na kadhalika.
Jifunze na Uchunguze: Inua chungu chako cha Asali
Hivi majuzi niliandika mafunzo mafupi juu ya jinsi ya kufanya . Kama ilivyotajwa tayari, kwa upande wetu tulitumia VPS ya Bahari ya Dijiti huko Singapore. Kwa saa 24 za uchanganuzi, gharama ilikuwa senti chache, na wakati wa kukusanya mfumo ulikuwa dakika 30.
Badala ya kuendesha Cowrie kwenye mtandao na kupata kelele zote, unaweza kufaidika na asali kwenye mtandao wako wa ndani. Weka arifa kila wakati ikiwa maombi yanatumwa kwa bandari fulani. Huyu ni mvamizi ndani ya mtandao, au mfanyakazi mwenye shauku ya kutaka kujua, au uchunguzi wa uwezekano wa kuathiriwa.
Matokeo
Baada ya kutazama vitendo vya washambuliaji kwa muda wa saa XNUMX, inakuwa wazi kuwa haiwezekani kutambua chanzo wazi cha mashambulizi katika shirika lolote, nchi, au hata mfumo wa uendeshaji.
Usambazaji mpana wa vyanzo unaonyesha kuwa kelele ya skanisho ni ya mara kwa mara na haihusiani na chanzo maalum. Mtu yeyote anayefanya kazi kwenye mtandao lazima ahakikishe kuwa mfumo wao viwango kadhaa vya usalama. Suluhisho la kawaida na la ufanisi kwa SSH huduma itahamia kwenye bandari ya juu bila mpangilio. Hii haiondoi hitaji la ulinzi mkali wa nenosiri na ufuatiliaji, lakini angalau inahakikisha kuwa kumbukumbu hazijafungwa na skanning mara kwa mara. Miunganisho ya bandari ya juu ina uwezekano mkubwa wa kuwa na mashambulizi yanayolengwa, ambayo yanaweza kukuvutia.
Mara nyingi bandari za telnet zilizo wazi ziko kwenye vipanga njia au vifaa vingine, kwa hivyo haziwezi kuhamishwa kwa urahisi hadi kwenye mlango wa juu. ΠΈ ndiyo njia pekee ya kuhakikisha kuwa huduma hizi zimezimwa kwa ngome au kuzimwa. Ikiwezekana, hupaswi kutumia Telnet kabisa; itifaki hii haijasimbwa kwa njia fiche. Ikiwa unahitaji na huwezi kufanya bila hiyo, basi ufuatilie kwa uangalifu na utumie nenosiri kali.
Chanzo: mapenzi.com