Mga istatistika sa loob ng 24 na oras pagkatapos mag-install ng honeypot sa isang Digital Ocean node sa Singapore
Pew Pew! Magsimula tayo kaagad sa mapa ng pag-atake
Ipinapakita ng aming sobrang cool na mapa ang mga natatanging ASN na nakakonekta sa aming Cowrie honeypot sa loob ng 24 na oras. Ang dilaw ay tumutugma sa mga koneksyon sa SSH, at ang pula ay tumutugma sa Telnet. Ang ganitong mga animation ay madalas na humahanga sa board of directors ng kumpanya, na makakatulong sa pag-secure ng mas maraming pondo para sa seguridad at mga mapagkukunan. Gayunpaman, ang mapa ay may ilang halaga, na malinaw na nagpapakita ng heograpiko at organisasyonal na pagkalat ng mga mapagkukunan ng pag-atake sa aming host sa loob lamang ng 24 na oras. Hindi ipinapakita ng animation ang dami ng trapiko mula sa bawat pinagmulan.
Ano ang mapa ng Pew Pew?
Mapa ng Pew Pew - Ay
Ginawa gamit ang Leafletjs
Para sa mga gustong magdisenyo ng attack map para sa malaking screen sa operations center (magugustuhan ito ng boss mo), mayroong library
WTF: ano itong Cowrie honeypot?
Ang Honeypot ay isang sistema na inilalagay sa network na partikular para mang-akit ng mga umaatake. Ang mga koneksyon sa system ay karaniwang ilegal at nagbibigay-daan sa iyong makita ang umaatake gamit ang mga detalyadong log. Ang mga log ay nag-iimbak hindi lamang ng regular na impormasyon ng koneksyon, kundi pati na rin ang impormasyon ng session na nagpapakita mga diskarte, taktika at pamamaraan (TTP) nanghihimasok.
Ang mensahe ko sa mga kumpanyang nag-iisip na hindi sila aatakehin: "Naghahanap ka nang husto."
β James Snook
Ano ang nasa logs?
Kabuuang bilang ng mga koneksyon
Mayroong paulit-ulit na mga pagtatangka sa koneksyon mula sa maraming mga host. Normal ito, dahil ang mga script ng pag-atake ay may buong listahan ng mga kredensyal at sumubok ng ilang kumbinasyon. Ang Cowrie Honeypot ay na-configure upang tanggapin ang ilang mga kumbinasyon ng username at password. Ito ay naka-configure sa user.db file.
Heograpiya ng mga pag-atake
Gamit ang Maxmind geolocation data, binilang ko ang bilang ng mga koneksyon mula sa bawat bansa. Ang Brazil at China ay nangunguna sa isang malawak na margin, at kadalasan ay maraming ingay mula sa mga scanner na nagmumula sa mga bansang ito.
May-ari ng network block
Ang pagsasaliksik sa mga may-ari ng network blocks (ASN) ay maaaring makilala ang mga organisasyong may malaking bilang ng mga umaatakeng host. Siyempre, sa ganitong mga kaso dapat mong laging tandaan na maraming mga pag-atake ay nagmumula sa mga nahawaang host. Makatuwirang ipagpalagay na ang karamihan sa mga umaatake ay hindi sapat na hangal upang i-scan ang Network mula sa isang computer sa bahay.
Buksan ang mga port sa mga umaatake na system (data mula sa Shodan.io)
Pagpapatakbo ng listahan ng IP sa pamamagitan ng mahusay
Ang isang kawili-wiling paghahanap ay ang malaking bilang ng mga sistema sa Brazil na mayroon hindi bukas 22, 23 o iba pang mga port, ayon kay Censys at Shodan. Tila ang mga ito ay mga koneksyon mula sa mga end user computer.
Mga bot? Hindi kinakailangan
Data
Ngunit dito makikita mo na maliit na bilang lamang ng mga host na nag-scan ng telnet ang may port 23 na bukas sa labas. Nangangahulugan ito na ang mga system ay maaaring nakompromiso sa ibang paraan, o ang mga umaatake ay nagpapatakbo ng mga script nang manu-mano.
Mga koneksyon sa bahay
Ang isa pang kawili-wiling paghahanap ay ang malaking bilang ng mga gumagamit ng bahay sa sample. Sa pamamagitan ng paggamit baligtarin ang paghahanap Natukoy ko ang 105 na koneksyon mula sa mga partikular na computer sa bahay. Para sa maraming koneksyon sa bahay, ipinapakita ng reverse DNS lookup ang hostname na may mga salitang dsl, home, cable, fiber, at iba pa.
Matuto at Mag-explore: Itaas ang Iyong Sariling Honeypot
Kamakailan ay nagsulat ako ng isang maikling tutorial kung paano
Sa halip na patakbuhin ang Cowrie sa internet at mahuli ang lahat ng ingay, maaari kang makinabang mula sa honeypot sa iyong lokal na network. Patuloy na magtakda ng isang abiso kung ang mga kahilingan ay ipinadala sa ilang mga port. Isa itong attacker sa loob ng network, o isang curious na empleyado, o isang vulnerability scan.
Natuklasan
Matapos tingnan ang mga aksyon ng mga umaatake sa loob ng XNUMX na oras, nagiging malinaw na imposibleng matukoy ang isang malinaw na pinagmulan ng mga pag-atake sa anumang organisasyon, bansa, o kahit na operating system.
Ang malawak na pamamahagi ng mga mapagkukunan ay nagpapakita na ang ingay ng pag-scan ay pare-pareho at hindi nauugnay sa isang partikular na pinagmulan. Ang sinumang nagtatrabaho sa Internet ay dapat tiyakin na ang kanilang sistema ilang antas ng seguridad. Isang karaniwan at epektibong solusyon para sa SSH lilipat ang serbisyo sa isang random na mataas na port. Hindi nito inaalis ang pangangailangan para sa mahigpit na proteksyon ng password at pagsubaybay, ngunit hindi bababa sa tinitiyak na ang mga log ay hindi barado sa pamamagitan ng patuloy na pag-scan. Ang mga mataas na koneksyon sa port ay mas malamang na maging mga naka-target na pag-atake, na maaaring maging interesado sa iyo.
Kadalasan ang mga bukas na telnet port ay nasa mga router o iba pang device, kaya hindi sila madaling ilipat sa isang mataas na port.
Pinagmulan: www.habr.com