สถิติ 24 ชั่วโมงหลังติดตั้ง honeypot บนโหนด Digital Ocean ในสิงคโปร์
ปิ๊ง ปิ๊ง! มาเริ่มกันที่แผนที่การโจมตีกันเลย
แผนที่สุดเจ๋งของเราแสดง ASN ที่ไม่ซ้ำใครซึ่งเชื่อมต่อกับ Cowrie honeypot ของเราภายใน 24 ชั่วโมง สีเหลืองตรงกับการเชื่อมต่อ SSH และสีแดงตรงกับ Telnet แอนิเมชันดังกล่าวมักจะสร้างความประทับใจให้กับคณะกรรมการบริหารของบริษัท ซึ่งสามารถช่วยจัดหาเงินทุนด้านความปลอดภัยและทรัพยากรได้มากขึ้น อย่างไรก็ตาม แผนที่มีคุณค่าบางประการ ซึ่งแสดงให้เห็นอย่างชัดเจนถึงการแพร่กระจายของแหล่งที่มาของการโจมตีทางภูมิศาสตร์และองค์กรบนโฮสต์ของเราในเวลาเพียง 24 ชั่วโมง ภาพเคลื่อนไหวไม่ได้สะท้อนถึงปริมาณการเข้าชมจากแต่ละแหล่งที่มา
แผนที่ Pew Pew คืออะไร?
แผนที่ปิ้วปิ้ว - เป็น
ทำด้วย Leafletjs
สำหรับผู้ที่ต้องการออกแบบแผนที่การโจมตีสำหรับหน้าจอขนาดใหญ่ในศูนย์ปฏิบัติการ (เจ้านายของคุณจะต้องชอบ) มีห้องสมุด
WTF: Cowrie honeypot นี้คืออะไร?
Honeypot คือระบบที่วางอยู่บนเครือข่ายเพื่อล่อลวงผู้โจมตีโดยเฉพาะ การเชื่อมต่อกับระบบมักจะผิดกฎหมายและช่วยให้คุณสามารถตรวจจับผู้โจมตีได้โดยใช้บันทึกโดยละเอียด บันทึกไม่เพียงแต่จัดเก็บข้อมูลการเชื่อมต่อปกติเท่านั้น แต่ยังรวมถึงข้อมูลเซสชันที่เปิดเผยอีกด้วย เทคนิค ยุทธวิธี และขั้นตอนปฏิบัติ (TTP) ผู้บุกรุก
ข้อความของฉันถึงบริษัทที่คิดว่าพวกเขาจะไม่ถูกโจมตี: "คุณดูแข็งแกร่งมาก"
— เจมส์ สนุกุก
มีอะไรอยู่ในบันทึก?
จำนวนการเชื่อมต่อทั้งหมด
มีความพยายามในการเชื่อมต่อซ้ำจากหลายโฮสต์ นี่เป็นเรื่องปกติ เนื่องจากสคริปต์โจมตีมีรายการข้อมูลประจำตัวทั้งหมดและลองใช้หลายชุดรวมกัน Cowrie Honeypot ได้รับการกำหนดค่าให้ยอมรับชื่อผู้ใช้และรหัสผ่านบางอย่าง มีการกำหนดค่านี้ใน ไฟล์ user.db.
ภูมิศาสตร์ของการโจมตี
ด้วยการใช้ข้อมูลตำแหน่งทางภูมิศาสตร์ของ Maxmind ฉันนับจำนวนการเชื่อมต่อจากแต่ละประเทศ บราซิลและจีนเป็นผู้นำโดยมีอัตรากำไรที่กว้าง และมักจะมีเสียงรบกวนจากเครื่องสแกนที่มาจากประเทศเหล่านี้เป็นจำนวนมาก
เจ้าของบล็อกเครือข่าย
การวิจัยเจ้าของบล็อกเครือข่าย (ASN) สามารถระบุองค์กรที่มีโฮสต์โจมตีจำนวนมากได้ แน่นอน ในกรณีเช่นนี้ คุณควรจำไว้เสมอว่าการโจมตีจำนวนมากมาจากโฮสต์ที่ติดไวรัส มีเหตุผลที่จะสรุปได้ว่าผู้โจมตีส่วนใหญ่ไม่ได้โง่พอที่จะสแกนเครือข่ายจากคอมพิวเตอร์ที่บ้าน
เปิดพอร์ตบนระบบโจมตี (ข้อมูลจาก Shodan.io)
รันรายการ IP อย่างดีเยี่ยม
การค้นพบที่น่าสนใจคือระบบจำนวนมากในบราซิลที่มี ไม่เปิด 22, 23 หรือ พอร์ตอื่นๆตาม Censys และ Shodan เห็นได้ชัดว่านี่คือการเชื่อมต่อจากคอมพิวเตอร์ของผู้ใช้ปลายทาง
บอท? ไม่จำเป็น
ข้อมูล
แต่ที่นี่ คุณจะเห็นว่ามีเพียงโฮสต์จำนวนไม่มากที่สแกนเทลเน็ตเท่านั้นที่มีพอร์ต 23 เปิดออกสู่ภายนอก ซึ่งหมายความว่าระบบถูกโจมตีด้วยวิธีอื่นหรือผู้โจมตีกำลังเรียกใช้สคริปต์ด้วยตนเอง
การเชื่อมต่อภายในบ้าน
การค้นพบที่น่าสนใจอีกประการหนึ่งคือผู้ใช้ตามบ้านจำนวนมากในกลุ่มตัวอย่าง โดยใช้ ค้นหาแบบย้อนกลับ ฉันระบุการเชื่อมต่อ 105 รายการจากคอมพิวเตอร์ที่บ้านโดยเฉพาะ สำหรับการเชื่อมต่อภายในบ้านจำนวนมาก การค้นหา DNS แบบย้อนกลับจะแสดงชื่อโฮสต์พร้อมกับคำว่า dsl, home, cable, fibre และอื่นๆ
เรียนรู้และสำรวจ: เลี้ยง Honeypot ของคุณเอง
ฉันเพิ่งเขียนบทช่วยสอนสั้น ๆ เกี่ยวกับวิธีการ
แทนที่จะใช้งาน Cowrie บนอินเทอร์เน็ตและจับเสียงรบกวน คุณสามารถได้รับประโยชน์จาก honeypot บนเครือข่ายท้องถิ่นของคุณ ตั้งค่าการแจ้งเตือนอย่างต่อเนื่องหากมีการส่งคำขอไปยังพอร์ตบางแห่ง นี่อาจเป็นผู้โจมตีภายในเครือข่าย หรือพนักงานที่อยากรู้อยากเห็น หรือการสแกนช่องโหว่
ผลการวิจัย
หลังจากดูการกระทำของผู้โจมตีในช่วง XNUMX ชั่วโมง จะเห็นได้ชัดว่าเป็นไปไม่ได้ที่จะระบุแหล่งที่มาของการโจมตีที่ชัดเจนในองค์กร ประเทศ หรือแม้แต่ระบบปฏิบัติการใดๆ
การกระจายแหล่งที่มาในวงกว้างแสดงให้เห็นว่าสัญญาณรบกวนจากการสแกนมีความคงที่และไม่เกี่ยวข้องกับแหล่งที่มาเฉพาะ ใครก็ตามที่ทำงานบนอินเทอร์เน็ตจะต้องมั่นใจว่าระบบของตน ความปลอดภัยหลายระดับ. วิธีแก้ปัญหาทั่วไปและมีประสิทธิภาพสำหรับ SSH บริการจะย้ายไปยังพอร์ตสุ่มสูง สิ่งนี้ไม่ได้ขจัดความจำเป็นในการป้องกันและการตรวจสอบด้วยรหัสผ่านที่เข้มงวด แต่อย่างน้อยก็ช่วยให้แน่ใจว่าบันทึกจะไม่อุดตันด้วยการสแกนอย่างต่อเนื่อง การเชื่อมต่อพอร์ตสูงมีแนวโน้มที่จะตกเป็นเป้าหมายการโจมตี ซึ่งอาจเป็นที่สนใจของคุณ
พอร์ตเทลเน็ตที่เปิดอยู่มักจะอยู่บนเราเตอร์หรืออุปกรณ์อื่นๆ ดังนั้นจึงไม่สามารถย้ายไปยังพอร์ตที่สูงๆ ได้อย่างง่ายดาย
ที่มา: will.com