สถิติ 24 ชั่วโมงหลังติดตั้ง honeypot บนโหนด Digital Ocean ในสิงคโปร์

ปิ๊ง ปิ๊ง! มาเริ่มกันที่แผนที่การโจมตีกันเลย

แผนที่สุดเจ๋งของเราแสดง ASN ที่ไม่ซ้ำใครซึ่งเชื่อมต่อกับ Cowrie honeypot ของเราภายใน 24 ชั่วโมง สีเหลืองตรงกับการเชื่อมต่อ SSH และสีแดงตรงกับ Telnet แอนิเมชันดังกล่าวมักจะสร้างความประทับใจให้กับคณะกรรมการบริหารของบริษัท ซึ่งสามารถช่วยจัดหาเงินทุนด้านความปลอดภัยและทรัพยากรได้มากขึ้น อย่างไรก็ตาม แผนที่มีคุณค่าบางประการ ซึ่งแสดงให้เห็นอย่างชัดเจนถึงการแพร่กระจายของแหล่งที่มาของการโจมตีทางภูมิศาสตร์และองค์กรบนโฮสต์ของเราในเวลาเพียง 24 ชั่วโมง ภาพเคลื่อนไหวไม่ได้สะท้อนถึงปริมาณการเข้าชมจากแต่ละแหล่งที่มา

แผนที่ Pew Pew คืออะไร?

แผนที่ปิ้วปิ้ว - เป็น การแสดงภาพการโจมตีทางไซเบอร์มักจะเคลื่อนไหวและสวยงามมาก เป็นวิธีการขายผลิตภัณฑ์ที่หรูหราซึ่ง Norse Corp. ใช้อย่างน่าอับอาย บริษัทจบลงอย่างเลวร้าย ปรากฎว่าแอนิเมชั่นที่สวยงามเป็นข้อได้เปรียบเพียงอย่างเดียวของบริษัท และพวกเขาใช้ข้อมูลที่ไม่เป็นชิ้นเป็นอันในการวิเคราะห์

ทำด้วย Leafletjs

สำหรับผู้ที่ต้องการออกแบบแผนที่การโจมตีสำหรับหน้าจอขนาดใหญ่ในศูนย์ปฏิบัติการ (เจ้านายของคุณจะต้องชอบ) มีห้องสมุด leafletjs. เรารวมมันเข้ากับปลั๊กอิน ชั้นการโยกย้ายใบปลิว, บริการ Maxmind GeoIP - และทำ.

WTF: Cowrie honeypot นี้คืออะไร?

Honeypot คือระบบที่วางอยู่บนเครือข่ายเพื่อล่อลวงผู้โจมตีโดยเฉพาะ การเชื่อมต่อกับระบบมักจะผิดกฎหมายและช่วยให้คุณสามารถตรวจจับผู้โจมตีได้โดยใช้บันทึกโดยละเอียด บันทึกไม่เพียงแต่จัดเก็บข้อมูลการเชื่อมต่อปกติเท่านั้น แต่ยังรวมถึงข้อมูลเซสชันที่เปิดเผยอีกด้วย เทคนิค ยุทธวิธี และขั้นตอนปฏิบัติ (TTP) ผู้บุกรุก

คาวรีรสน้ำผึ้ง สร้างขึ้นเพื่อ บันทึกการเชื่อมต่อ SSH และ Telnet. ฮันนีพอตดังกล่าวมักถูกวางบนอินเทอร์เน็ตเพื่อติดตามเครื่องมือ สคริปต์ และโฮสต์ของผู้โจมตี

ข้อความของฉันถึงบริษัทที่คิดว่าพวกเขาจะไม่ถูกโจมตี: "คุณดูแข็งแกร่งมาก"
— เจมส์ สนุกุก

มีอะไรอยู่ในบันทึก?

จำนวนการเชื่อมต่อทั้งหมด

มีความพยายามในการเชื่อมต่อซ้ำจากหลายโฮสต์ นี่เป็นเรื่องปกติ เนื่องจากสคริปต์โจมตีมีรายการข้อมูลประจำตัวทั้งหมดและลองใช้หลายชุดรวมกัน Cowrie Honeypot ได้รับการกำหนดค่าให้ยอมรับชื่อผู้ใช้และรหัสผ่านบางอย่าง มีการกำหนดค่านี้ใน ไฟล์ user.db.

ภูมิศาสตร์ของการโจมตี

ด้วยการใช้ข้อมูลตำแหน่งทางภูมิศาสตร์ของ Maxmind ฉันนับจำนวนการเชื่อมต่อจากแต่ละประเทศ บราซิลและจีนเป็นผู้นำโดยมีอัตรากำไรที่กว้าง และมักจะมีเสียงรบกวนจากเครื่องสแกนที่มาจากประเทศเหล่านี้เป็นจำนวนมาก

เจ้าของบล็อกเครือข่าย

การวิจัยเจ้าของบล็อกเครือข่าย (ASN) สามารถระบุองค์กรที่มีโฮสต์โจมตีจำนวนมากได้ แน่นอน ในกรณีเช่นนี้ คุณควรจำไว้เสมอว่าการโจมตีจำนวนมากมาจากโฮสต์ที่ติดไวรัส มีเหตุผลที่จะสรุปได้ว่าผู้โจมตีส่วนใหญ่ไม่ได้โง่พอที่จะสแกนเครือข่ายจากคอมพิวเตอร์ที่บ้าน

เปิดพอร์ตบนระบบโจมตี (ข้อมูลจาก Shodan.io)

รันรายการ IP อย่างดีเยี่ยม โชดัน API ระบุได้อย่างรวดเร็ว ระบบที่มีพอร์ตเปิด และพอร์ตเหล่านี้คืออะไร? รูปด้านล่างแสดงความเข้มข้นของพอร์ตที่เปิดอยู่แยกตามประเทศและองค์กร มันเป็นไปได้ที่จะระบุบล็อกของระบบที่ถูกบุกรุก แต่อยู่ภายใน ตัวอย่างเล็กๆ ไม่มีอะไรเด่นให้เห็นนอกจากจำนวนมาก จีนเปิดพอร์ต 500 แห่ง.

การค้นพบที่น่าสนใจคือระบบจำนวนมากในบราซิลที่มี ไม่เปิด 22, 23 หรือ พอร์ตอื่นๆตาม Censys และ Shodan เห็นได้ชัดว่านี่คือการเชื่อมต่อจากคอมพิวเตอร์ของผู้ใช้ปลายทาง

บอท? ไม่จำเป็น

ข้อมูล Censys สำหรับพอร์ต 22 และ 23 พวกเขาพบสิ่งแปลก ๆ ในวันนั้น ฉันคิดว่าการสแกนและการโจมตีด้วยรหัสผ่านส่วนใหญ่มาจากบอท สคริปต์แพร่กระจายผ่านพอร์ตที่เปิดอยู่ การเดารหัสผ่าน และคัดลอกตัวเองจากระบบใหม่และยังคงแพร่กระจายโดยใช้วิธีเดียวกัน

แต่ที่นี่ คุณจะเห็นว่ามีเพียงโฮสต์จำนวนไม่มากที่สแกนเทลเน็ตเท่านั้นที่มีพอร์ต 23 เปิดออกสู่ภายนอก ซึ่งหมายความว่าระบบถูกโจมตีด้วยวิธีอื่นหรือผู้โจมตีกำลังเรียกใช้สคริปต์ด้วยตนเอง

การเชื่อมต่อภายในบ้าน

การค้นพบที่น่าสนใจอีกประการหนึ่งคือผู้ใช้ตามบ้านจำนวนมากในกลุ่มตัวอย่าง โดยใช้ ค้นหาแบบย้อนกลับ ฉันระบุการเชื่อมต่อ 105 รายการจากคอมพิวเตอร์ที่บ้านโดยเฉพาะ สำหรับการเชื่อมต่อภายในบ้านจำนวนมาก การค้นหา DNS แบบย้อนกลับจะแสดงชื่อโฮสต์พร้อมกับคำว่า dsl, home, cable, fibre และอื่นๆ

เรียนรู้และสำรวจ: เลี้ยง Honeypot ของคุณเอง

ฉันเพิ่งเขียนบทช่วยสอนสั้น ๆ เกี่ยวกับวิธีการ ติดตั้ง Cowrie honeypot บนระบบของคุณ. ตามที่ได้กล่าวไปแล้ว ในกรณีของเรา เราใช้ Digital Ocean VPS ในสิงคโปร์ สำหรับการวิเคราะห์ 24 ชั่วโมง มีค่าใช้จ่ายเพียงไม่กี่เซ็นต์ และเวลาประกอบระบบคือ 30 นาที

แทนที่จะใช้งาน Cowrie บนอินเทอร์เน็ตและจับเสียงรบกวน คุณสามารถได้รับประโยชน์จาก honeypot บนเครือข่ายท้องถิ่นของคุณ ตั้งค่าการแจ้งเตือนอย่างต่อเนื่องหากมีการส่งคำขอไปยังพอร์ตบางแห่ง นี่อาจเป็นผู้โจมตีภายในเครือข่าย หรือพนักงานที่อยากรู้อยากเห็น หรือการสแกนช่องโหว่

ผลการวิจัย

หลังจากดูการกระทำของผู้โจมตีในช่วง XNUMX ชั่วโมง จะเห็นได้ชัดว่าเป็นไปไม่ได้ที่จะระบุแหล่งที่มาของการโจมตีที่ชัดเจนในองค์กร ประเทศ หรือแม้แต่ระบบปฏิบัติการใดๆ

การกระจายแหล่งที่มาในวงกว้างแสดงให้เห็นว่าสัญญาณรบกวนจากการสแกนมีความคงที่และไม่เกี่ยวข้องกับแหล่งที่มาเฉพาะ ใครก็ตามที่ทำงานบนอินเทอร์เน็ตจะต้องมั่นใจว่าระบบของตน ความปลอดภัยหลายระดับ. วิธีแก้ปัญหาทั่วไปและมีประสิทธิภาพสำหรับ SSH บริการจะย้ายไปยังพอร์ตสุ่มสูง สิ่งนี้ไม่ได้ขจัดความจำเป็นในการป้องกันและการตรวจสอบด้วยรหัสผ่านที่เข้มงวด แต่อย่างน้อยก็ช่วยให้แน่ใจว่าบันทึกจะไม่อุดตันด้วยการสแกนอย่างต่อเนื่อง การเชื่อมต่อพอร์ตสูงมีแนวโน้มที่จะตกเป็นเป้าหมายการโจมตี ซึ่งอาจเป็นที่สนใจของคุณ

พอร์ตเทลเน็ตที่เปิดอยู่มักจะอยู่บนเราเตอร์หรืออุปกรณ์อื่นๆ ดังนั้นจึงไม่สามารถย้ายไปยังพอร์ตที่สูงๆ ได้อย่างง่ายดาย ข้อมูลเกี่ยวกับพอร์ตที่เปิดอยู่ทั้งหมด и พื้นผิวการโจมตี เป็นวิธีเดียวที่จะให้แน่ใจว่าบริการเหล่านี้มีไฟร์วอลล์หรือปิดใช้งาน หากเป็นไปได้ คุณไม่ควรใช้ Telnet เลย โปรโตคอลนี้ไม่ได้เข้ารหัส หากคุณต้องการและไม่สามารถทำได้หากไม่มีมัน ให้ตรวจสอบอย่างระมัดระวังและใช้รหัสผ่านที่รัดกุม

ที่มา: will.com